Цифровая безопасность только что получила новые правила, и компании, обрабатывающие данные карт, должны адаптироваться. С приходом версии 4.0 до Стандарта безопасности данных в сфере платежных карт (PCI DSS), установленный Советом стандартов безопасности PCI (PCI SSC), изменения важны и непосредственно влияют на защиту данных клиентов и на то, как хранятся данные о платежах, обработанные и переданные. Но, в конце концов, что на самом деле меняется
Основное изменение заключается в необходимости еще более высокого уровня цифровой безопасности. Компании должны будут инвестировать в передовые технологии, как надежная криптография и многофакторная аутентификация. Этот метод требует как минимум два фактора проверки для подтверждения личности пользователя перед предоставлением доступа к системам, приложения или транзакции, усложняя вторжения, даже если преступники имеют доступ к паролям или личным данным
Среди используемых факторов аутентификации находятся:
- Что-то, что знает пользовательпароли, ПИН-коды или ответы на вопросы безопасности
- Что-то, что есть у пользователяфизические токены, SMS с кодами подтверждения, аутентификаторы (такие как Google Authenticator) или цифровые сертификаты
- Что-то, чем является пользовательцифровая биометрия, лицевой, распознавание голоса или радужной оболочки глаза
Эти слои защиты делают несанкционированный доступ гораздо более сложным и обеспечивают большую безопасность для чувствительных данных, объясни
⁇ Кратко, надо усилить защиту данных клиентов, внедряя дополнительные меры для предотвращения несанкционированных доступов ⁇, объясни Вагнер Элиас, Генеральный директор Conviso, разработчица решения для безопасности приложений. «Это уже не вопрос "адаптироваться, когда это будет необходимо"», больше действовать превентивно, основные моменты
Согласно новым правилам, реализация происходит в две фазы: первая, с 13 новыми требованиями, срок истекает в марте 2024 года. Вторая фаза, более требовательный, включает 51 дополнительное требование и должно быть выполнено до 31 марта 2025 года. То есть,кто не подготовился, может столкнуться с серьезными штрафами
Чтобы соответствовать новым требованиям, некоторые из основных действий включают: внедритьмежсетевые экраныи надежные системы защиты; использовать шифрование при передаче и хранении данных; мониторить и постоянно отслеживать доступы и подозрительную активность; постоянно тестировать процессы и системы для выявления уязвимостей; создать и поддерживать строгую политику безопасности информации
Вагнер подчеркивает, что, на практике, это означает, что любая компания, работающая с платежами по картам, должна будет пересмотреть всю свою структуру цифровой безопасности. Это включает в себя обновление систем, усилить внутренние политики и обучить команды для минимизации рисков. Например, электронная коммерция должна гарантировать, что данные клиентов шифруются от конца до конца и что только авторизованные пользователи имеют доступ к конфиденциальной информации. Сеть розничной торговли должна будет внедрить механизмы для постоянного мониторинга возможных попыток мошенничества и утечек данных, приведи пример
Банки и финтехи также должны будут усилить свои механизмы аутентификации, расширяя использование технологий, таких как биометрия и многофакторная аутентификация. Цель состоит в том, чтобы сделать транзакции более безопасными, не ухудшая опыт клиента. Это требует баланса между защитой и удобством использования, что сектор финансов уже совершенствует в последние годы, основные моменты
Но, почему это изменение так важно? Не является преувеличением сказать, что цифровые мошенничества становятся все более сложными. Утечки данных могут привести к миллионным убыткам и непоправимым повреждениям доверия клиентов.
Вагнер Элиас предупреждает: "многие компании все еще занимают реактивную позицию", только беспокоясь о безопасности после того, как происходит атака. Это поведение вызывает беспокойство, так как недостатки безопасности могут повлечь за собой выразительные финансовые убытки и непоправимый ущерб репутации организации, которые можно было бы избежать с помощью профилактических мер
Он также подчеркивает, что для предотвращения этих рисков, большое дифференцирование является принять практики Application Security (Безопасность Приложений) с начала разработки нового приложения, обеспечивая, чтобы каждая фаза цикла разработки программного обеспечения уже имела меры защиты. Это гарантирует включение мер защиты во все этапы жизненного цикла программного обеспечения, будучи гораздо более экономичным, чем исправление ущерба после инцидента
Стоит отметить, что это тенденция, которая растет по всему миру. Рынок безопасности приложений, который движет 11 долларов США,62 миллиарда в 2024 году, должно достичь 25 долларов США,92 миллиарда до 2029 года, согласно Mordor Intelligence
Вагнер объясняет, что такие решения, как DevOps, позволяют разрабатывать каждую строку кода с практиками защиты, вдобавок к услугам, таким как тестирование на проникновение и смягчение уязвимостей. Проведение непрерывного анализа безопасности и автоматизации тестирования позволяет компаниям соответствовать стандартам, не жертвуя эффективностью, основные моменты
Кроме того, специализированные консультации важны в этом процессе, помогая компаниям адаптироваться к новым требованиям PCI DSS 4.0. "Среди самых востребованных услуг - тестирование на проникновение", Красная команда и оценки безопасности третьих лиц, которые помогают выявлять и исправлять уязвимости до того, как они могут быть использованы преступниками, счет
С все более сложными цифровыми мошенничествами, игнорировать безопасность данных больше не является вариантом. Компании, которые инвестируют в профилактические меры, обеспечивают защиту своих клиентов и укрепляют свои позиции на рынке. Реализация новых директив является, прежде всего, важный шаг к созданию более безопасной и надежной платежной среды, заключи
