A digitális biztonság új szabályokat kapott, és a kártyaadatokat feldolgozó vállalatoknak alkalmazkodniuk kell. A 4-es verzió megérkezésével.0 a Fizetési Kártyák Adatvédelmi Szabványához (PCI DSS), a PCI Biztonsági Szabványok Tanácsa (PCI SSC) által létrehozva, a változások fontosak és közvetlen hatással vannak az ügyfelek adatainak védelmére és arra, hogyan tárolják a fizetési adatokat, feldolgozott és továbbított. De, végül, mi valójában változik
A fő változás a digitális biztonság még magasabb szintjének szükségessége. A vállalatoknak fejlett technológiákba kell befektetniük, mint a robusztus titkosítás és a többlépcsős hitelesítés. Ez a módszer legalább két ellenőrzési tényezőt igényel a felhasználó azonosításának megerősítéséhez, mielőtt hozzáférést biztosítana a rendszerekhez, alkalmazások vagy tranzakciók, megnehezítve a behatolásokat, még ha a bűnözők hozzáférnek is jelszavakhoz vagy személyes adatokhoz
Az használt hitelesítési tényezők közé tartozik:
- Valami, amit a felhasználó tudjelszavak, PIN-k vagy biztonsági kérdésekre adott válaszok
- Valami, amivel a felhasználó rendelkezikfizikai tokenek, SMS ellenőrző kódokkal, hitelesítő alkalmazások (mint például a Google Authenticator) vagy digitális tanúsítványok
- Valami, ami a felhasználódigitális biometria, arc, hangfelismerés vagy írisz
“Ezek a védelmi rétegek sokkal nehezebbé teszik a jogosulatlan hozzáférést, és nagyobb biztonságot nyújtanak az érzékeny adatok számára”, magyarázd el
Röviden, szükséges megerősíteni az ügyfelek adatainak védelmét, további intézkedések bevezetése a jogosulatlan hozzáférések megelőzésére, magyarázd el Wagner Eliást, A Conviso vezérigazgatója, alkalmazásbiztonsági megoldás fejlesztője. „Nem arról van szó, hogy „alkalmazkodni, amikor szükséges”, de a megelőző intézkedések megtételére, kiemelkedik
Az új szabályok szerint, a megvalósítás két fázisban történik: az első, 13 új követelményel, 2024 márciusában volt a határidő. A második szakasz, de mandább, tartalmaz 51 további követelményt, és 2025. március 31-ig kell teljesíteni. Vagyis,aki, aki nem készültek fel súlyos büntetésekkel nézhetnek szembe
Az új követelményekhez való alkalmazkodás érdekében, a főbb intézkedések közé tartozik: végrehajtanitűzfalakés a robusztus védelmi rendszerek; adatok továbbítására és tárolására titkosítás használata; folyamatosan figyelni és nyomon követni a gyanús hozzáféréseket és tevékenységeket; folyamatok és rendszerek folyamatos tesztelése a sebezhetőségek azonosítása érdekében; szigorú információbiztonsági politika létrehozása és fenntartása
Wagner hangsúlyozza, hogy, a gyakorlatban, ez azt jelenti, hogy bármely vállalat, amely kártyás fizetésekkel foglalkozik, felül kell vizsgálja az egész digitális biztonsági struktúráját. Ez rendszerek frissítését jelenti, belső politikák megerősítése és csapatok képzése a kockázatok minimalizálása érdekében. Például, egy e-kereskedelemnek biztosítania kell, hogy az ügyfelek adatai végponttól végpontig titkosítva legyenek, és hogy csak az arra jogosult felhasználók férhessenek hozzá az érzékeny információkhoz. Egy kiskereskedelmi láncnak folyamatosan figyelemmel kell kísérnie a lehetséges csalási kísérleteket és adatlopásokat, példa
A bankoknak és a fintech cégeknek is erősíteniük kell az azonosítási mechanizmusaikat, a biometria és a többfaktoros hitelesítés használatának bővítése. A cél az, hogy a tranzakciók biztonságosabbá váljanak anélkül, hogy veszélyeztetnék az ügyfél élményét. Ez egyensúlyt igényel a védelem és a használhatóság között, valami, amit a pénzügyi szektor az utóbbi években már fejlesztett, kiemelkedik
De, miért olyan fontos ez a változás? Nem túlzás azt mondani, hogy a digitális csalások egyre kifinomultabbak. Az adatlopások milliós veszteségeket és helyrehozhatatlan károkat okozhatnak az ügyfelek bizalmában.
Wagner Elias figyelmeztet: “sok vállalat még mindig reaktív hozzáállást tanúsít, csak azután aggódni a biztonság miatt, hogy egy támadás történt. Ez a viselkedés aggasztó, mivel a biztonsági hiányosságok jelentős pénzügyi veszteségeket és helyrehozhatatlan károkat okozhatnak a szervezet hírnevében, amelyek megelőző intézkedésekkel elkerülhetők lennének
Még hangsúlyozza, hogy ezeknek a kockázatoknak az elkerülése érdekében, a nagy különbség az, hogy az új alkalmazás fejlesztésének kezdetétől alkalmazásbiztonsági gyakorlatokat alkalmazunk, biztosítva, hogy a szoftverfejlesztési ciklus minden szakaszában legyenek védelmi intézkedések. Ez garantálja a védelmi intézkedések beépítését a szoftver életciklusának minden szakaszába, sokkal gazdaságosabb, mint a károk orvoslása egy incidens után
Fontos megjegyezni, hogy ez egy olyan tendencia, amely világszerte növekszik. Az alkalmazásbiztonsági piac, ami 11 dollárt mozgat,62 milliárd 2024-ben, el kell érnie a 25 USD-t,92 milliárd 2029-ig, a Mordor Intelligence szerint
Wagner magyarázza, hogy az olyan megoldások, mint a DevOps, megengedik, hogy a kód minden egyes sora védelmi gyakorlatokkal készüljön, többek között olyan szolgáltatások, mint a behatolási tesztek és a sebezhetőségek csökkentése. A folyamatos biztonsági elemzések és tesztelési automatizálás lehetővé teszi a vállalatok számára, hogy megfeleljenek a szabványoknak anélkül, hogy veszélyeztetnék a hatékonyságot, kiemelkedik
Ezenkívül, a szakértői tanácsadások fontosak ebben a folyamatban, segítve a vállalatokat, hogy alkalmazkodjanak a PCI DSS 4 új követelményeihez.0. A legjobban keresett szolgáltatások között szerepel a behatolási tesztelés, Vörös Csapat és harmadik fél biztonsági értékelések, amelyek segítenek azonosítani és kijavítani a sebezhetőségeket, mielőtt azokat bűnözők kihasználhatnák, számla
Egyre kifinomultabb digitális csalásokkal, az adatok biztonságának figyelmen kívül hagyása már nem opció. A megelőző intézkedésekbe befektető vállalatok garantálják ügyfeleik védelmét és megerősítik piaci pozíciójukat. Az új irányelvek végrehajtása é, mindenekelőtt, egy alapvető lépés a biztonságosabb és megbízhatóbb fizetési környezet kialakításához, befejeződik
