Bezpieczeństwo cyfrowe właśnie zyskało nowe zasady, a firmy przetwarzające dane kart muszą się dostosować. Z nadejściem wersji 4.0 do Standardu Bezpieczeństwa Danych w Branży Kart Płatniczych (PCI DSS), ustawione przez PCI Security Standards Council (PCI SSC), zmiany są ważne i mają bezpośredni wpływ na ochronę danych klientów oraz na to, jak przechowywane są dane płatnicze, przetworzone i przesłane. Ale, w końcu, co naprawdę się zmienia
Główną zmianą jest potrzeba jeszcze wyższego poziomu bezpieczeństwa cyfrowego. Firmy będą musiały inwestować w zaawansowane technologie, jak silne szyfrowanie i uwierzytelnianie wieloskładnikowe. Ta metoda wymaga co najmniej dwóch czynników weryfikacyjnych, aby potwierdzić tożsamość użytkownika przed przyznaniem dostępu do systemów, aplikacje lub transakcje, utrudniając inwazje, nawet jeśli przestępcy mają dostęp do haseł lub danych osobowych
Wśród używanych czynników uwierzytelniających znajdują się:
- Coś, co użytkownik wiehasła, PIN-y lub odpowiedzi na pytania zabezpieczające
- Coś, co użytkownik posiadatokeny fizyczne, SMS z kodami weryfikacyjnymi, aplikacje uwierzytelniające (takie jak Google Authenticator) lub certyfikaty cyfrowe
- Coś, czym jest użytkownikbiometria cyfrowa, twarzowy, rozpoznawanie głosu lub tęczówki
“Te warstwy ochrony znacznie utrudniają nieautoryzowany dostęp i zapewniają większe bezpieczeństwo dla danych wrażliwych”, wyjaśnij
Podsumowując, konieczne jest wzmocnienie ochrony danych klientów, wdrażając dodatkowe środki w celu zapobiegania nieautoryzowanym dostępom, wyjaśnij Wagner Elias, CEO Conviso, deweloper rozwiązań dla bezpieczeństwa aplikacji. „To już nie jest kwestia „dostosowania się, gdy zajdzie taka potrzeba”, więcej o działaniu prewencyjnym, wyróżnia
Zgodnie z nowymi zasadami, wdrożenie odbywa się w dwóch fazach: pierwsza, z 13 nowymi wymaganiami, termin ostateczny był w marcu 2024. Już druga faza, bardziej wymagający, zawiera 51 dodatkowych wymagań i powinna być spełniona do 31 marca 2025. To znaczy,kto się nie przygotował, może napotkać surowe kary
Aby dostosować się do nowych wymagań, niektóre z głównych działań obejmują: wdrożeniezapory ogniowei systemy ochrony robustne; używać kryptografii do przesyłania i przechowywania danych; monitorować i śledzić ciągłe dostępy i podejrzane aktywności; testowanie procesów i systemów w sposób ciągły w celu identyfikacji luk bezpieczeństwa; stworzyć i utrzymywać rygorystyczną politykę bezpieczeństwa informacji
Wagner podkreśla, że, w praktyce, to oznacza, że każda firma zajmująca się płatnościami kartą będzie musiała przejrzeć całą swoją strukturę bezpieczeństwa cyfrowego. To obejmuje aktualizację systemów, wzmocnić polityki wewnętrzne i szkolić zespoły w celu minimalizacji ryzyka. Na przykład, e-commerce musi zapewnić, że dane klientów będą szyfrowane end-to-end i że tylko uprawnieni użytkownicy będą mieli dostęp do wrażliwych informacji. Już sieć detaliczna będzie musiała wdrożyć mechanizmy do ciągłego monitorowania możliwych prób oszustw i wycieków danych, przykład
Banki i fintechy będą musiały również wzmocnić swoje mechanizmy autoryzacji, rozszerzając wykorzystanie technologii takich jak biometryka i uwierzytelnianie wieloskładnikowe. "Celem jest uczynienie transakcji bezpieczniejszymi bez kompromitowania doświadczenia klienta". To wymaga równowagi między ochroną a użytecznością, coś, co sektor finansowy doskonali od kilku lat, wyróżnia
Ale, dlaczego ta zmiana jest tak ważna? Nie jest przesadą powiedzieć, że oszustwa cyfrowe stają się coraz bardziej wyrafinowane. Wycieki danych mogą prowadzić do milionowych strat i nieodwracalnych szkód w zaufaniu klientów.
Wagner Elias ostrzega: „wiele firm wciąż przyjmuje postawę reaktywną, martwienie się o bezpieczeństwo dopiero po tym, jak dojdzie do ataku. To zachowanie jest niepokojące, ponieważ luki w zabezpieczeniach mogą prowadzić do znacznych strat finansowych i nieodwracalnych szkód w reputacji organizacji, które można by było uniknąć dzięki środkom zapobiegawczym
On nadal podkreśla, że aby uniknąć tych ryzyk, wielką różnicą jest przyjęcie praktyk bezpieczeństwa aplikacji (Application Security) od początku rozwoju nowej aplikacji, zapewniając, że każda faza cyklu rozwoju oprogramowania ma już środki ochrony. To zapewnia wprowadzenie środków ochrony na wszystkich etapach cyklu życia oprogramowania, będąc znacznie bardziej ekonomicznym niż naprawianie szkód po incydencie
Warto pamiętać, że jest to trend, który rośnie na całym świecie. Rynek bezpieczeństwa aplikacji, który obraca 11 USD,62 miliardów w 2024, powinno wynosić 25 USD,92 miliardów do 2029, według Mordor Intelligence
Wagner wyjaśnia, że rozwiązania takie jak DevOps, pozwalają, aby każdy wiersz kodu był rozwijany z praktykami ochrony, oprócz usług takich jak testy penetracyjne i łagodzenie luk w zabezpieczeniach. „Przeprowadzanie ciągłych analiz bezpieczeństwa i automatyzacji testów pozwala firmom spełniać normy bez kompromisów w zakresie wydajności”, wyróżnia
Ponadto, specjalistyczne doradztwa są ważne w tym procesie, pomagając firmom dostosować się do nowych wymagań PCI DSS 4.0. "Wśród najczęściej poszukiwanych usług znajduje się testowanie penetracyjne", Zespół Red Team i oceny bezpieczeństwa osób trzecich, które pomagają zidentyfikować i naprawić luki, zanim zostaną wykorzystane przez przestępców, konto
Z coraz bardziej wyrafinowanymi oszustwami cyfrowymi, ignorowanie bezpieczeństwa danych nie jest już opcją. Firmy, które inwestują w środki zapobiegawcze, zapewniają ochronę swoim klientom i wzmacniają swoją pozycję na rynku. Wdrożenie nowych wytycznych jest, przede wszystkim, kluczowy krok w budowaniu bezpieczniejszego i bardziej zaufanego środowiska płatności, konkluduj
