Digital öryggið hefur nýlega fengið nýjar reglur og fyrirtæki sem vinna með kortagögn þurfa að aðlagast. Með komu útgáfu 4.0 til Padrão um öryggisgagna fyrir greiðslukortageirann (PCI DSS), stofnað af PCI öryggisstaðla ráðinu (PCI SSC), breytingarnar eru mikilvægar og hafa bein áhrif á verndun viðskiptavina gagna og hvernig greiðslugögn eru geymd, ferðir og sendir. Enn, að lokum, hvað breytist raunverulega
Aðalbreytingin er þörfin fyrir enn hærra stig stafrænnar öryggis. Fyrirtækin munu þurfa að fjárfesta í háþróaðri tækni, eins og öflug dulkóðun og margfeldi auðkenning. Þetta aðferð krefst að minnsta kosti tveggja staðfestingarfaktora til að staðfesta auðkenni notandans áður en aðgangur er veittur að kerfum, forrit eða viðskipti, að hindra innrásir, þó að glæpamenn hafi aðgang að lykilorðum eða persónuupplýsingum
Meðal þeirra auðkenningarþátta sem notaðir eru eru:
- Eitthvað sem notandinn veitlyklar, PIN eða svör við öryggisspurningum
- Eitthvað sem notandinn álíkamstáknar, SMS með staðfestingarkóðum, auðkenningarsnið (eins og Google Authenticator) eða rafrænir vottorð
- Eitthvað sem notandinn erdigital líffræði, andlit, rödd eða íris viðurkenning
Þessar verndarþilfar gera aðgang óviðkomandi mun erfiðari og tryggir meiri öryggi fyrir viðkvæm gögn, útskýra
Í stuttu máli, þarf að styrkja vernd viðskiptavina gagna, innleiða viðbótaraðgerðir til að koma í veg fyrir óheimila aðgangi, útskýra Wagner Elias, CEO Conviso, lausnara fyrir öryggi forrita. "Það er ekki lengur spurning um 'að aðlagast þegar nauðsyn krefur'", en aðgerðum til að koma í veg fyrir, ber
Samkvæmt nýju reglunum, innleiðingin fer fram í tveimur fösum: fyrsta, með 13 nýjum kröfum, var frest í mars 2024. Þá er annað stigið, meira kröfuharður, innifelur 51 viðbótarkröfur og ætti að vera uppfyllt fyrir 31. mars 2025. Þetta er að segja,hver sem undirbýr sig getur staðið frammi fyrir alvarlegum refsingu
Til að aðlagast nýjum kröfum, nokkur af helstu aðgerðum felur í sér: að innleiðaeldveggirog sterkar verndarkerfi; nota um dulkum íslenna í flutningi og geymslu gagna; fylgja og rekja stöðugt aðgengi og grunsamlegar athafnir; prófa ferla og kerfi stöðugt til að greina veikleika; að búa til og viðhalda ströngum upplýsingatæknisikkerðisstefnu
Wagner bendir að, í rauninni, þetta þýðir að hvaða fyrirtæki sem er sem vinnur með greiðslur með korti mun þurfa að endurskoða alla sína stafrænu öryggistrúnað. Þetta felur í sér að uppfæra kerfi, styrkja innri stefnu og þjálfa teymi til að lágmarka áhættu. Til dæmis, netverslun þarf að tryggja að gögn viðskiptavina séu dulkóðuð frá enda til enda og að aðeins heimilaðir notendur hafi aðgang að viðkvæmum upplýsingum. „Verslunarnet hefur þegar þurft að innleiða aðferðir til að fylgjast stöðugt með mögulegum tilraunum til svika og gagnaleka“, dæmi
Bankar og fintechar munu einnig þurfa að styrkja auðkenningartæki sín, að auka notkun tækni eins og lífkenni og margfaldri auðkenningu. Markmiðið er að gera viðskiptin öruggari án þess að fórna upplifun viðskiptavinarins. Þetta krefst jafnvægis milli verndar og notkunar, eitthvað sem fjármálageirinn hefur verið að bæta á síðustu árum, ber
Enn, af hverju er þessi breyting svo mikilvæg? Ek er ekki of mikið að segja að stafrænar svik séu sífellt flóknari. Gagnas leaks geta leitt til milljóna skaða og óbætanlegra skaða á trausti viðskiptavina.
Wagner Elias varar: “margar fyrirtæki enn taka upp viðbragðsstöðu, barað því að hugsa um öryggi aðeins eftir að árás hefur átt sér stað. Þetta hegðun er áhyggjuefni, því að öryggisbrestir geta leitt til verulegra fjárhagslegra tjóna og óbætanlegra skaða á orðspori stofnunarinnar, sem hægt væri að forðast með fyrirbyggjandi aðgerðum
Hann enn fremur bendir á að til að forðast þessa áhættu, stórsta munur er að taka upp aðferðir við forritasikkerhet (öryggi forrita) strax í upphafi þróunar nýja forritsins, að tryggja að hver áfangi í hugbúnaðarþróunarferlinu hafi þegar öryggisráðstafanir. Þetta tryggir að verndaraðgerðir séu innleiddar á öllum stigum lífsferils hugbúnaðarins, vera miklu meira hagkvæmt en að laga skemmdir eftir atvik
Það er vert að minna á að þetta er þróun sem hefur verið að vaxa um allan heim. Forritunarsikkerðismarkaðurinn, semur US$ 11,62 milljarðar árið 2024, á að koma í 25 USD,92 milljarðar til 2029, samkvæmt Mordor Intelligence
Wagner útskýrir að lausnir eins og DevOps, leyfa að hver línu af kóða sé þróuð með verndaraðferðum, auk þjónustu eins og innrásarpróf og veikleika minnkun. Að framkvæma stöðugar öryggisgreiningar og sjálfvirkar prófanir gerir fyrirtækjum kleift að uppfylla kröfur án þess að fórna skilvirkni, ber
Auk þess, sérfræðiráðgjöf er mikilvæg í þessu ferli, aðstoða fyrirtæki við að aðlagast nýjum kröfum PCI DSS 4.0. „Meðal þeirra þjónusta sem mest er leitað að er Penetration Testing, Red Team og öryggismat á þriðja aðila, sem að hjálpa til við að bera kennsl á og leiðrétta veikleika áður en þeir geta verið nýttir af glæpamönnum, reikningur
Með sífellt flóknari stafrænum svikum, að hunsa öryggi gagna er ekki lengur valkostur. Fyrirtæki sem fjárfesta í forvarnaraðgerðum tryggja vernd viðskiptavina sinna og styrkja stöðu sína á markaði. Að innleiða nýju leiðbeiningarnar er, fyrst og fremst, einn nauðsynlegur skref til að byggja upp öruggara og áreiðanlegra greiðsluumhverfi, lokar
