In Brasilië, waar kredietkaarte een van die belangrikste vorme van betaling is en digitale data 'n waarde het wat vergelykbaar is met dié van kontant, word die risiko's van aanlynbedrog toenemend teenwoordig, wat ekstra aandag van verbruikers en maatskappye vereis.
Om te 'n idee te kry van die omvang van die probleem, het vier uit elke tien Brasiliërs al die slagoffers van bedrog en finansiële bedrog in die land geword, wat 42% van die Brasiliërs verteenwoordig. Die data is van die "Digitale Identiteits- en Bedrogverslag 2024", 'n opname gedoen deur Serasa Experian.
Nog 'n ander studie, nou van die Nasionale Konfederasie van Winkelbestuurders (CNDL) en die Kredietbeskermingsdiens (SPC Brasil), in samewerking met Sebrae, word getoon dat ongeveer 8,4 miljoen verbruikers in die afgelope 12 maande bedrog by finansiële instellings gerapporteer het. Onder die bedrog, is die kloning van krediet- en debietkaarte die hoofsoort bedrog.
Alhoewel ongeveer 70% van die Brasiliërs drie of meer kaarte het, volgens Serasa, is die risiko-persepsie steeds laag. Ongeveer 69% van die Brasiliërs onderskat die gevaar van die registrasie van finansiële data op webwerwe en toepassings, wat 'n groot deel van die bevolking blootstel aan digitale bedrog en kuberaanvalle.
Tussen die toenemende waarskuwing oor digitale sekuriteit, kom goeie nuus: nuwe inisiatiewe en tegnologiese vooruitgang maak die aanlyn-omgewing elke dag veiliger.
Onlangs het PCI Security Standards Council (PCI SSC) nuwe riglyne voorgestel vir die voortdurende ontwikkeling en verbetering van sekuriteitsstandaarde, van toepassing op maatskappye wat betalingsdata stoor, verwerk of oordra, sowel as op sagteware-ontwikkelaars en vervaardigers van toestelle wat in transaksies gebruik word. Die PCI is 'n wêreldwye organisasie wat die belangrikste rolspelers in die betalingsbedryf saambring om die gebruik van hulpbronne vir veilige transaksies te bevorder.
“Soos bedreigings en tegnologie ontwikkel, so ontwikkel PCI DSS-standaarde. Daarom is dit nou nodig om bewus te wees van die nuwe vereistes en die nodige aanpassings te maak”, waarsku Wagner Elias, HUB van Conviso, ’n ontwikkelaar van toepassingsekuriteitsoplossings.
Onder die opdaterings is die van die Data Security Standard van die Betalingskaartsektor (PCI DSS), geskep om die hele waardeketting van kaartbetalings te beskerm. U diens nakomingsvereistes dek alles van die stoor van kaarthouer-data tot die beveiliging van toegang tot sensitiewe betalingsinligting.
"In kort, dit is nodig om die beskerming van kliëntedata te versterk, deur bykomende maatreëls te implementeer om ongemagtigde toegang te voorkom," sê die kenner.
Dus, maatskappye sal moet aanpas en in nuwe tegnologieë belê. Om te 'n idee te hê, is daar sommige van hierdie oplossings wat in staat is om 'n volledige beeld te gee van die risiko's wat verband hou met elke toepassing. "Hierdie gereedskap integreer verskeie stelsels, sentraliseer inligting en help met die prioritisering van aksies, alles op 'n deurlopende wyse," verduidelik die CEO van Conviso oor sy platform Conviso Platform Application Security Posture Management (ASPM), wat in 2010 bekendgestel is.
Tog, die spesialis beklem die dat baie maatskappye nog steeds 'n reaksiegerigte houding teenoor die sekuriteit van hul stelsels aanneem, en slegs die onderwerp prioriteit gee nadat hulle aangeval is. Dit gedrag, volgens hom, is zorgwekkend omdat veiligheidsfoute finansiële verliese kan veroorsaak en onherstelbare skade aan die organisasie se reputasie kan aanrig, wat voorkom kon word met voorsorgmaatreëls.
Vir hom, wanneer hy die ontwikkeling van nuwe sagteware oorweeg, is dit noodsaaklik dat die maatskappy veiligheid in elke fase van die skeppingsiklus insluit, vanaf die vereistesinsameling (eerste fase wat bepaal wat die app gaan doen) tot die implementering (produksie en finale lewering).
“Om hierdie risiko's te vermy, is die groot verskil om toepassingsekuriteitspraktyke van die begin van die ontwikkeling van die nuwe toepassing aan te neem. Dit verseker dat beskermende maatreëls in alle stadiums van die sagteware-lewensiklus ingesluit is. Benewens dat dit aansienlik meer kostedoeltreffend is as om skade ná 'n voorval te herstel, is belegging in voorkomende sekuriteit baie meer doeltreffend. Dit stel ons in staat om aanvalle te voorkom, sensitiewe data te beskerm, voldoening aan wetgewing en riglyne te verseker en te waarborg dat die toepassing van die begin af veilig en betroubaar is vir gebruikers,” sê die kenner.
Wagner verduidelik dat die maatskappy oplossings ontwikkel wat sekuriteit in DevOps integreer, en toelaat dat elke reël kode ontwikkel word met beskermingspraktyke, asook dienste soos inbraaktoetsing en kwesbaarheidsmitigasie. "Uitvoerende de voortdurende sekuriteits- en toetsoutomatiseringanalises stel maatskappye in staat om aan die standaarde te voldoen sonder om die doeltreffendheid te benadeel," beklemtoon Wagner.
Benewens die implementering van robuuste tegnologieë, beklemtoon die CEO van Conviso die belangrikheid van gespesialiseerde konsultasies, wat ondernemings help om aan die vereistes van PCI DSS 4.0 en ander regulasies te voldoen. Dienste soos Penetrasie Toetsing, Rooi Span en derdeparty-sekuriteitsevaluasies bevorder 'n proaktiewe en omvattende sekuriteitsbenadering deur kwesbaarhede te identifiseer en reg te stel voordat hulle uitgebuit kan word.
Beleggings moet versnel
Hierdie transformasie in digitale sekuriteit versterk nie net die vertroue van verbruikers in 'n veilige aanlynomgewing nie, maar volg ook die versnellende groei van die toepassingsveiligheidsmark, wat volgens Mordor Intelligence van US$ 11,62 miljard in 2024 na US$ 25,92 miljard teen 2029 sal uitbrei. "Die implementering van gevorderde tegnologie markeer 'n keerpunt in digitale beskerming en versterk die vertroue in 'n mark wat meer as ooit tevore van sekuriteit afhanklik is om te floreer," sluit Wagner af.
Kyk na die lys van 12 PCI DSS-vereistes waaraan die 4.0-nakomingstoets moet voldoen:
- Installeer en onderhou 'n firewall
- Vee verskaffer verstek konfigurasie uit
- Beskerm gestoorde kaarthouerdata
- Enkripteer die oordrag van betalingsdata
- Dateer gereeld jou antivirusprogrammatuur op
- Ontplooi veilige stelsels en toepassings
- Beperk toegang tot kaarthouerdata soos nodig
- Ken gebruikertoegang-ID toe
- Beperk fisiese toegang tot data
- Volg en monitor netwerktoegang
- Toets prosesse en stelsels deurlopend vir kwesbaarhede
- Skep en onderhou 'n infosec-beleid
Die implementering van PCI DSS 4.0-riglyne word in twee fases gedoen:
- Die eerste fase, met 13 nuwe vereistes, het 'n sperdatum van 31 Maart 2024 gehad.
- Die tweede fase, met 51 bykomende vereistes, moet teen 31 Maart 2025 geïmplementeer word.
