Digitalna varnost je pravkar dobila nova pravila in podjetja, ki obdelujejo podatke o karticah, se morajo prilagoditi. S prihodom različice 4.0 do Standard za varnost podatkov v plačilni industriji (PCI DSS), ustanovljen s strani Sveta za varnost plačilnih standardov (PCI SSC), spremembe so pomembne in neposredno vplivajo na zaščito podatkov strank ter na način shranjevanja plačilnih podatkov, obdelani in preneseni. Ampak, končno, kaj resnično spremeni
Glavna sprememba je potreba po še višjem nivoju digitalne varnosti. Podjetja bodo morala vlagati v napredne tehnologije, kot robustna kriptografija in večfaktorska avtentikacija. Ta metoda zahteva vsaj dva preverjevalna dejavnika za potrditev identitete uporabnika, preden omogoči dostop do sistemov, aplikacije ali transakcije, otežuje vdore, tudi da kriminalci imajo dostop do gesel ali osebnih podatkov
Med različnimi dejavniki avtentikacije, ki se uporabljajo, so:
- Nekaj, kar uporabnik vegesla, PIN-ji ali odgovori na varnostna vprašanja
- Nekaj, kar ima uporabnikfizični žetoni, SMS s smernimi kodami, avtentikacijske aplikacije (kot je Google Authenticator) ali digitalni certifikati
- Nekaj, kar je uporabnikdigitalna biometrika, obra na obra, prepoznavanje glasu ali šarenice
Te plasti zaščite otežujejo nepooblaščen dostop in zagotavljajo večjo varnost za občutljive podatke, razloži
Na kratko, potrebno je okrepiti zaščito podatkov strank, uvajanje dodatnih ukrepov za preprečevanje nepooblaščenih dostopov, pojasni Wagner Elias, CEO podjetja Conviso, razvijalec rešitev za varnost aplikacij. "Ni več ni vprašanje 'se prilagoditi, ko bo potrebno'", več o preventivnem delovanju, izpostavlja
V skladu z novimi pravili, izvedba poteka v dveh fazah: prva, s 13 novimi zahtevami, rok za oddajo je bil marca 2024. Že druga faza, bolj zahteven, vključuje 51 dodatnih zahtevov in bi morala biti izpolnjena do 31. marca 2025. To je rečeno,kdo se ni pripravil, se lahko sooči s hudimi kaznimi
Za prilagoditev novim zahtevam, nekatere glavne dejavnosti vključujejo: izvajanjepožarni zidoviin robustni zaščitni sistemi; uporabiti kriptografijo pri prenosu in shranjevanju podatkov; natanje in neprekinjeno sledenje dostopom in sumljivim dejavnostim; testirati procese in sisteme nenehno, da bi odkrili ranljivosti; ustvariti in vzdrževati strogo politiko varnosti informacij
Wagner poudarja, da, v praksi, to pomeni, da bo vsako podjetje, ki se ukvarja s plačili s karticami, moralo pregledati celotno svojo strukturo digitalne varnosti. To vključuje posodabljanje sistemov, okrepiti notranje politike in usposobiti ekipe za zmanjšanje tveganj. Na primer, e-trgovina bo morala zagotoviti, da so podatki strank šifrirani od konca do konca in da imajo dostop do občutljivih informacij le pooblaščeni uporabniki. "Trgovinska mreža bo morala uvesti mehanizme za nenehno spremljanje morebitnih poskusov goljufij in uhajanja podatkov", primeri
Banke in fintechi bodo prav tako morali okrepiti svoje mehanizme avtentikacije, širitev uporabe tehnologij, kot sta biometrija in večfaktorska avtentikacija. "Cilj je učiniti transakcije sigurnijima bez ugrožavanja iskustva kupca". To zahteva ravnotežje med zaščito in uporabnostjo, nekaj, kar je finančni sektor že izboljšal v zadnjih letih, izpostavlja
Ampak, zakaj je ta sprememba tako pomembna? Ni je pretirano reči, da so digitalne prevare vse bolj sofisticirane. Izgube podatkov lahko privedejo do milijonskih izgub in nepopravljive škode za zaupanje strank.
Wagner Elias opozarja: "mnoga podjetja še vedno sprejemajo reaktivno stališče, samo skrbeli za varnost šele po tem, ko se zgodi napad. To vedenje je zaskrbljujoče, sajti varnostne pomanjkljivosti lahko povzročijo znatne finančne izgube in nepopravljivo škodo ugledu organizacije, ki bi lahko preprečili z preventivnimi ukrepi
Še vedno poudarja, da je za preprečevanje teh tveganj, velika prednost je usvajanje praksi sigurnosti aplikacija od samog početka razvoja nove aplikacije, zagotovitev, da ima vsaka faza cikla razvoja programske opreme že zaščitne ukrepe. To zagotavlja vključitev zaščitnih ukrepov v vseh fazah življenjskega cikla programske opreme, je veliko bolj ekonomično kot odpraviti škodo po incidentu
Pomembno je omeniti, da gre za trend, ki narašča po vsem svetu. Trg tržišče varnosti aplikacij, ki premika 11 USD,62 milijard v letu 2024, mora priti do 25 USD,92 milijard do 2029, po podatkih Mordor Intelligence
Wagner pojasnjuje, da rešitve, kot je DevOps, dovolijo, da se vsaka vrstica kode razvije s praksami zaščite, poleg storitev, kot so testiranje vdorov in omilitev ranljivosti. “Nenehno izvajanje analiz varnosti in avtomatizacije testov omogoča podjetjem, da izpolnjujejo standarde, ne da bi ogrozili učinkovitost”, izpostavlja
Poleg tega, specializirane svetovalne službe so pomembne v tem procesu, pomoč podjetjem, da se prilagodijo novim zahtevam PCI DSS 4.0. "Med među najboljim uslugama su testiranje penetracije", Rde ekipa in ocene varnosti tretjih oseb, ki pomagajo prepoznati in odpraviti ranljivosti, preden jih lahko izkoristijo kriminalci, račun
S s vse bolj sofisticiranimi digitalnimi prevarami, ignoriranje varnosti podatkov ni več možnost. Podjetja, ki vlagajo v preventivne ukrepe, zagotavljajo zaščito svojih strank in krepijo svoj položaj na trgu. Uvesti nove smernice je, predvsem, ključni korak za izgradnjo varnejšega in bolj zaupanja vrednega plačilnega okolja, zaključiti
