Dijital güvenlik yeni kurallar kazandı ve kart verilerini işleyen şirketlerin uyum sağlaması gerekiyor. Sürüm 4'ün gelmesiyle.0 Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS), PCI Güvenlik Standartları Konseyi (PCI SSC) tarafından belirlenmiştir, değişiklikler önemlidir ve müşterilerin verilerinin korunması ile ödeme verilerinin nasıl saklandığı üzerinde doğrudan etki eder, işlenmiş ve iletilmiş. Ama, sonuçta, gerçekten ne değişir
Ana temel değişiklik, daha yüksek bir dijital güvenlik seviyesine duyulan ihtiyaçtır. Şirketler ileri teknolojilere yatırım yapmak zorunda kalacaklar, güçlü şifreleme ve çok faktörlü kimlik doğrulama. Bu yöntem, sisteme erişim vermeden önce kullanıcının kimliğini doğrulamak için en az iki doğrulama faktörü gerektirir, uygulamalar veya işlemler, istilaları zorlaştırma, suçluların şifrelere veya kişisel verilere erişimi olsa bile
Kullanılan kimlik doğrulama faktörleri şunlardır:
- Kullanıcının bildiği bir şeyşifreler, PIN'ler veya güvenlik sorularına verilen cevaplar
- Kullanıcının sahip olduğu bir şeyfiziksel jetonlar, Doğrulama kodları içeren SMS, kimlik doğrulayıcı uygulamalar (örneğin Google Authenticator) veya dijital sertifikalar
- Kullanıcının bir şeyidirdijital biyometri, yüzsel, ses tanıma veya iris
“Bu koruma katmanları yetkisiz erişimi çok daha zor hale getirir ve hassas veriler için daha fazla güvenlik sağlar”, açıkla
Kısaca, müşteri verilerinin korunmasını güçlendirmek gerekiyor, yetkisiz erişimleri önlemek için ek önlemler uygulamak, Wagner Elias'ı açıkla, Conviso CEO'su, uygulama güvenliği çözümleri geliştiren şirket. "Artık 'gerekirse uyum sağlamak' meselesi değil", önleyici davranmak üzere, vurgular
Yeni kurallara göre, uygulama iki aşamada gerçekleşir: birincisi, 13 yeni gereksinimle, mart 2024'te son tarih vardı. İkinci aşama ise, daha talepkar, 51 ek gereksinim içerir ve 31 Mart 2025'e kadar yerine getirilmelidir. Yani,hazırlanmayanlar ciddi cezalara çarptırılabilir
Yeni gereksinimlere uyum sağlamak için, bazı ana eylemler şunlardır: uygulamakgüvenlik duvarlarıve dayanıklı koruma sistemleri; veri iletimi ve veri depolamada şifreleme kullanmak; şüpheli erişimleri ve faaliyetleri sürekli izlemek ve takip etmek; sürekli olarak süreçleri ve sistemleri test etmek, zayıflıkları belirlemek için; bilgi güvenliği için katı bir politika oluşturmak ve sürdürmek
Wagner vurguluyor ki, pratikte, bu, kartla ödeme yapan herhangi bir şirketin dijital güvenlik yapısını gözden geçirmesi gerektiği anlamına geliyor. Bu, sistemleri güncellemeyi içerir, iç politikaları güçlendirmek ve ekipleri riskleri en aza indirmek için eğitmek. Örneğin, bir e-ticaret, müşteri verilerinin uçtan uca şifrelenmesini sağlamalı ve yalnızca yetkili kullanıcıların hassas bilgilere erişimine izin vermelidir. Artık bir perakende zinciri, sürekli olarak olası dolandırıcılık girişimlerini ve veri sızıntılarını izlemek için mekanizmalar uygulamak zorunda kalacak, örnekle
Bankalar ve fintechler de kimlik doğrulama mekanizmalarını güçlendirmek zorunda kalacaklar, biyometrik ve çok faktörlü kimlik doğrulama gibi teknolojilerin kullanımını genişletmek. “Amacık deneyimini tehlikeye atmadan işlemleri daha güvenli hale getirmek”. Bu, koruma ve kullanılabilirlik arasında bir denge gerektirir, finans sektörünün son yıllarda geliştirdiği bir şey, vurgular
Ama, bu değişiklik neden bu kadar önemli? Dijital dolandırıcılıkların giderek daha sofistike hale geldiğini söylemek abartı değil. Veri sızıntıları milyonlarca dolarlık zararlara ve müşteri güveninde onarılamaz hasarlara yol açabilir.
Wagner Elias uyarıyor: "birçok şirket hala reaktif bir tutum sergiliyor, sadece bir saldırı olduktan sonra güvenlikle ilgilenmek. Bu davranış endişe verici, çünkü güvenlik açıkları önemli mali kayıplara ve organizasyonun itibarında onarılamaz zararlara yol açabilir, önlenebilir önleyici tedbirlerle
Bu riskleri önlemek için hala vurguluyor, büyük fark, yeni uygulamanın geliştirilmesinin başından itibaren Uygulama Güvenliği (Application Security) uygulamalarını benimsemektir, yazılım geliştirme döngüsünün her aşamasında koruma önlemlerinin alınmasını sağlamak. Bu, yazılımın yaşam döngüsünün tüm aşamalarında koruma önlemlerinin uygulanmasını garanti eder, bir olaydan sonra zararları düzeltmekten çok daha ekonomik olmak
Dünya genelinde artan bir eğilim olduğunu hatırlamak önemlidir. Uygulama güvenliği pazarı, 11 milyon ABD doları hareket ettiren,2024'te 62 milyar, 25 ABD Dolarına ulaşması gerekiyor,2029'a kadar 92 milyar, Mordor Intelligence'e göre
Wagner, DevOps gibi çözümler olduğunu açıklıyor, her satır kodun koruma uygulamalarıyla geliştirilmesine izin veriyorlar, saldırgan testleri ve zayıflıkların azaltılması gibi hizmetlerin yanı sıra. "Sürekli güvenlik analizleri ve test otomasyonu yapmak, şirketlerin verimlilikten ödün vermeden standartlara uymalarını sağlar", vurgular
Ayrıca, uzman danışmanlıklar bu süreçte önemlidir, şirketlerin PCI DSS 4'ün yeni gereksinimlerine uyum sağlamalarına yardımcı olmak.0. "En çok talep edilen hizmetler arasında Penetrasyon Testi bulunmaktadır", Kırmızı Ekip ve üçüncü taraf güvenlik değerlendirmeleri, suçlular tarafından istismar edilmeden önce zayıflıkları tanımlamaya ve düzeltmeye yardımcı olan, hesap
Giderek daha sofistike dijital dolandırıcılıklar ile, veri güvenliğini göz ardı etmek artık bir seçenek değil. Önleyici önlemlere yatırım yapan şirketler, müşterilerinin korunmasını sağlar ve pazardaki konumlarını güçlendirir. Yeni yönergeleri uygulamak,, her şeyden önce, daha güvenli ve güvenilir bir ödeme ortamı oluşturmak için temel bir adım, sonuçlandırdı
