Sekuriteit van digitale data het pas nuwe reëls gekry en maatskappye wat kaartdata verwerk, moet aanpas. Met die aankoms van die weergawe 4.0 van die Betalingskaartsikheidsstandaard (PCI DSS), gestel deur die PCI Security Standards Council (PCI SSC), is die veranderinge belangrik en beïnvloed dit direkte die beskerming van kliëntedata en hoe betalingsdata gestoor, verwerk en oorgedra word. Maar, wat verander eintlik?
Die hoofverandering is die behoefte aan 'n nog hoër vlak van digitale sekuriteit. Maatskappye sal moet in gevorderde tegnologieë belê, soos robuuste enkripsie en multifaktor-verifikasie. Hierdie metode vereis minstens twee verificasiefaktore om die identiteit van die gebruiker te bevestig voordat toegang tot stelsels, toepassings of transaksies toegestaan word, wat indringing bemoeilik, selfs al het misdadigers toegang tot wagwoorde of persoonlike inligting.
Onder die faktore van autentisering wat gebruik word, is:
- Iets wat die gebruiker weetwachtwoorde, PIN's of antwoorde op sekuriteitsvrae.
- Iets wat die gebruiker hettokens fisies, SMS met kode van verifikasie, verifikasie toepassings (soos Google Authenticator) of digitale sertifikate.
- Iets wat die gebruiker isbiometriese digitaal, gesig, stemherkenning of iris.
"Deze beskermingslae maak ongeoorloofde toegang baie moeiliker en verseker groter sekuriteit vir sensitiewe data," verduidelik.
Kortliks, is dit nodig om die beskerming van kliëntedata te versterk deur addisionele maatreëls te implementeer om ongeautoriseerde toegang te voorkom, verduidelik Wagner Elias, CEO van Conviso, ontwikkelaar van toepassingsveiligheidoplossings. Dit is nie meer 'n saak van "aanpas wanneer nodig" nie, maar van proaktief optree, beklemtoon hy.
Volgens die nuwe reëls vind die implementering in twee fases plaas: die eerste, met 13 nuwe vereistes, het die finale sperdatum in Maart 2024. Die tweede fase, meer veeleisend, omvat 51 aanvullende vereistes en moet teen 31 Maart 2025 voltooi wees. Dit wil sê, wie nie voorberei nie, kan swaar boetes in die gesig staar.
Om te voldoen aan die nuwe vereistes, sluit sommige van die belangrikste aksies in: implementeervuurmureen enkripsie in die oordrag en stoor van data; voortdurend toesig hou oor toegang en verdagte aktiwiteite; voortdurend prosesse en stelsels toets om kwesbaarhede te identifiseer; skep en handhaaf 'n streng inligtingsveiligheidbeleid.
Wagner beklemtoon dat dit in die praktyk beteken dat enige maatskappy wat met kaartbetalings werk, hul hele digitale sekuriteitsstruktuur moet hersien. Dit behels die opdatering van stelsels, die versterking van interne beleid en die opleiding van spanne om risiko's te minimaliseer. Byvoorbeeld, 'n aanlynwinkel sal moet verseker dat kliëntedata end-tot-end gekript is en dat slegs geautoriseerde gebruikers toegang tot sensitiewe inligting het,' verduidelik hy. 'N Kleinhandelnetwerk sal mekanismes moet implementeer om voortdurend moontlike bedrogspulpogings en datalekke te monitor.'
Banke en fintechs sal ook hul meganismes van verifikasie moet versterk, deur die gebruik van tegnologieë soos biometrie en multifaktor-verifikasie uit te brei. Die doelwit is om transaksies veiliger te maak sonder om die kliënt se ervaring te benadeel. Dit vereis 'n balans tussen beskerming en bruikbaarheid, iets wat die finansiële sektor reeds die afgelope jare verbeter het, beklemtoon hy.
Maar hoekom is hierdie verandering so belangrik? Dit is nie oorverdowend om te sê dat digitale bedrog al hoe meer gesofistikeerd raak nie. Databronne kan lei tot miljoene rand se skade hê en onherstelbare skade aan kliënte se vertroue.
Wagner Elias waarsku: "baie maatskappye neem steeds 'n reaksiegerigte houding aan, en sorg net vir veiligheid nadat 'n aanval plaasgevind het. Hierdie gedrag is kommerwekkend, want sekuriteitsfoute kan groot finansiële verliese en onherstelbare skade aan die organisasie se reputasie veroorsaak, wat voorkom kon word deur voorsorgmaatreëls."
Hy onthou ook dat om hierdie risiko's te vermy, die groot onderskeid is om vanaf die begin van die ontwikkeling van die nuwe toepassing praktyke van Toepassingsveiligheid (Application Security) aan te neem, en te verseker dat elke fase van die sagtewareontwikkelingsiklus reeds beskermingsmaatreëls het. Dit verseker die invoer van beskermingsmaatreëls in alle fases van die lewensiklus van die sagteware, en is baie meer ekonomies as om die skade na 'n voorval te herstel.
Dit is belangrik om te onthou dat dit 'n tendens is wat wêreldwyd toeneem. Die sekuriteitsmark vir toepassings, wat in 2024 $11,62 miljard werd, sal teen 2029 $25,92 miljard bereik, volgens Mordor Intelligence.
Wagner verduidelik dat oplossings soos DevOps toelaat dat elke reël kode ontwikkel word met beskermingspraktyke, benewens dienste soos inbraaktoetsing en kwesbaarheidsmitigasie. Uitvoerende de voortdurende sekuriteits- en toetsoutomatiseringanalises stel maatskappye in staat om aan die standaarde te voldoen sonder om die doeltreffendheid te benadeel, beklemtoon hy.
Daarbenewens is gespesialiseerde konsultasies belangrik in hierdie proses, en help dit maatskappye om aan te pas by die nuwe vereistes van PCI DSS 4.0. Onder die mees gesoekte dienste is Penetrasie Toetsing, Rooi Span en derdeparty-sekuriteitsbeoordelings, wat help om kwesbaarhede te identifiseer en reg te stel voordat misdadigers dit kan uitbuit, vertel hy.
Met bedrog digitale al hoe meer gesofistikeerde, is dit nie meer 'n opsie om die sekuriteit van data te ignoreer nie. Maatskappye wat in voorsorgmaatreëls belê, verseker die beskerming van hul kliënte en versterk hul posisie in die mark. Die implementering van die nuwe riglyne is, voor alles, 'n noodsaaklike stap om 'n veiliger en meer betroubare betalingsomgewing te bou, sluit hy af.
