የዲጂታል ደህንነት አዲስ ደንቦችን አግኝቷል, እና የካርድ ውሂብን የሚያካሂዱ ኩባንያዎች መላመድ አለባቸው. በ PCI ደህንነት ደረጃዎች ምክር ቤት (PCI SSC) የተቋቋመው የክፍያ ካርድ ኢንዱስትሪ የውሂብ ደህንነት ደረጃ (PCI DSS) ስሪት 4.0 ሲመጣ ለውጦቹ ጉልህ ናቸው እና በቀጥታ የደንበኞችን ውሂብ ጥበቃ እና የክፍያ ውሂብ እንዴት እንደሚከማች ፣ እንደሚሠራ እና እንደሚተላለፍ ላይ ተጽዕኖ ያሳድራሉ። ግን በእውነቱ ምን ይለወጣል?
ዋናው ለውጥ ከፍተኛ የዲጂታል ደህንነት አስፈላጊነት ነው። ኩባንያዎች እንደ ጠንካራ ምስጠራ እና ባለብዙ ደረጃ ማረጋገጫ ባሉ የላቁ ቴክኖሎጂዎች ላይ ኢንቨስት ማድረግ አለባቸው። ይህ ዘዴ ለስርዓቶች፣ አፕሊኬሽኖች ወይም ግብይቶች መዳረሻ ከመስጠቱ በፊት የተጠቃሚውን ማንነት ለማረጋገጥ ቢያንስ ሁለት የማረጋገጫ ሁኔታዎችን ይፈልጋል፣ ይህም ጠለፋን የበለጠ ከባድ ያደርገዋል፣ ምንም እንኳን ወንጀለኞች የይለፍ ቃሎችን ወይም የግል መረጃዎችን ቢያገኙም።
ጥቅም ላይ ከዋሉት የማረጋገጫ ሁኔታዎች መካከል፡-
- ተጠቃሚው የሚያውቀው ነገር ፡ የይለፍ ቃሎች፣ ፒን ወይም የደህንነት ጥያቄዎች መልሶች።
- ተጠቃሚው ያለው ነገር ፡ አካላዊ ቶከኖች፣ የማረጋገጫ ኮዶች ያለው ኤስኤምኤስ፣ አረጋጋጭ መተግበሪያዎች (እንደ Google አረጋጋጭ ያሉ) ወይም ዲጂታል የምስክር ወረቀቶች።
- ተጠቃሚው የሆነ ነገር ፡- ዲጂታል፣ የፊት፣ ድምጽ ወይም አይሪስ ማወቂያ ባዮሜትሪክስ።
"እነዚህ የጥበቃ ንብርብሮች ያልተፈቀደ መዳረሻን በጣም አስቸጋሪ ያደርጓቸዋል እና ለስሱ መረጃዎች የበለጠ ደህንነትን ያረጋግጣሉ" ሲል ያስረዳል።
"በአጭሩ ያልተፈቀደ መዳረሻን ለመከላከል ተጨማሪ እርምጃዎችን በመተግበር የደንበኞችን መረጃ ጥበቃ ማጠናከር አለብን" ሲሉ የመተግበሪያ ደህንነት መፍትሄዎች አዘጋጅ የሆኑት የኮንቪሶ ዋና ስራ አስፈፃሚ ዋግነር ኤሊያስ ያስረዳሉ። "ከአሁን በኋላ 'አስፈላጊ በሚሆንበት ጊዜ መላመድ' ሳይሆን የመከላከል እርምጃ ነው" ሲል አጽንዖት ሰጥቷል.
በአዲሱ ሕጎች መሠረት ትግበራው በሁለት ደረጃዎች ይከናወናል-የመጀመሪያው, 13 አዳዲስ መስፈርቶች, በማርች 2024 የመጨረሻ ቀን ነበረው. ሁለተኛው, በጣም አስቸጋሪው ደረጃ, 51 ተጨማሪ መስፈርቶችን ያካትታል እና እስከ መጋቢት 31, 2025 ድረስ መሟላት አለበት.
ከአዲሶቹ መስፈርቶች ጋር ለመላመድ, አንዳንድ ቁልፍ እርምጃዎች የሚከተሉትን ያካትታሉ: ፋየርዎል እና ጠንካራ የመከላከያ ስርዓቶችን መተግበር; በመረጃ ስርጭት እና ማከማቻ ውስጥ ምስጠራን በመጠቀም; አጠራጣሪ መዳረሻን እና እንቅስቃሴን በተከታታይ መከታተል እና መከታተል; ድክመቶችን ለመለየት ሂደቶችን እና ስርዓቶችን በየጊዜው መሞከር; እና ጥብቅ የመረጃ ደህንነት ፖሊሲ መፍጠር እና ማቆየት።
ዋግነር አጽንዖት ሰጥቷል, በተግባር, ይህ ማለት ማንኛውም የካርድ ክፍያዎችን የሚያስተናግድ ኩባንያ ሙሉውን የዲጂታል ደህንነት መዋቅር መገምገም ይኖርበታል. ይህ ስርዓቶችን ማዘመንን፣ የውስጥ ፖሊሲዎችን ማጠናከር እና አደጋዎችን ለመቀነስ ቡድኖችን ማሰልጠን ያካትታል። "ለምሳሌ የኢ-ኮሜርስ ኩባንያ የደንበኞች መረጃ ከጫፍ እስከ ጫፍ ኢንክሪፕት የተደረገ መሆኑን እና የተፈቀደላቸው ተጠቃሚዎች ብቻ ስሱ መረጃዎችን እንዲያገኙ ማረጋገጥ ይኖርበታል። በሌላ በኩል የችርቻሮ ሰንሰለት ሊደረጉ የሚችሉ የማጭበርበር ሙከራዎችን እና የመረጃ ፍንጮችን ያለማቋረጥ ለመከታተል ስልቶችን መተግበር ይኖርበታል" ሲል ያስረዳል።
ባንኮች እና ፊንቴክስ የማረጋገጫ ስልቶቻቸውን ማጠናከር፣ እንደ ባዮሜትሪክስ እና ባለብዙ ፋክተር ማረጋገጫ ያሉ ቴክኖሎጂዎችን አጠቃቀም ማስፋት አለባቸው። "ዓላማው የደንበኞችን ልምድ ሳይጎዳ ግብይቶችን የበለጠ ደህንነቱ የተጠበቀ ማድረግ ነው. ይህ ጥበቃ እና አጠቃቀም መካከል ያለውን ሚዛን ይጠይቃል, በቅርብ ዓመታት ውስጥ የፋይናንስ ሴክተሩ እየተሻሻለ መጥቷል "ሲል አጽንዖት ሰጥቷል.
ግን ይህ ለውጥ በጣም አስፈላጊ የሆነው ለምንድነው? ዲጂታል ማጭበርበር ከጊዜ ወደ ጊዜ እየተራቀቀ ነው ቢባል ማጋነን አይሆንም። የውሂብ መጣስ በሚሊዮኖች የሚቆጠር ዶላር ኪሳራ እና በደንበኛ እምነት ላይ ሊስተካከል የማይችል ጉዳት ሊያስከትል ይችላል።
ዋግነር ኤልያስ እንዲህ ሲል ያስጠነቅቃል: "ብዙ ኩባንያዎች አሁንም ምላሽ ሰጪ አካሄድን ይቀበላሉ, ጥቃት ከደረሰ በኋላ ለደህንነት ብቻ ይጨነቃሉ. ይህ ባህሪ አሳሳቢ ነው, ምክንያቱም የደህንነት ጥሰቶች ከፍተኛ የገንዘብ ኪሳራ እና በድርጅቱ ስም ላይ ሊጠገን የማይችል ጉዳት ስለሚያስከትል, ይህም በመከላከል እርምጃዎች ሊወገድ ይችላል."
በተጨማሪም እነዚህን አደጋዎች ለማስወገድ ዋናው ነገር ከአዲሱ መተግበሪያ ልማት ጀምሮ የአፕሊኬሽን ሴኪዩሪቲ ልማዶችን መከተል ሲሆን እያንዳንዱ የሶፍትዌር ልማት ዑደት አስቀድሞ የመከላከያ እርምጃዎች እንዳሉት ማረጋገጥ መሆኑን አጽንኦት ሰጥቷል። ይህ በሁሉም የሶፍትዌር የህይወት ኡደት ደረጃዎች ላይ የመከላከያ እርምጃዎች መተግበራቸውን ያረጋግጣል፣ ይህም አደጋ ከተከሰተ በኋላ የሚደርሰውን ጉዳት ከማዳን የበለጠ ወጪ ቆጣቢ ነው።
ይህ በዓለም አቀፍ ደረጃ እያደገ የመጣ አዝማሚያ መሆኑን ልብ ሊባል የሚገባው ጉዳይ ነው። በ2024 በ11.62 ቢሊዮን ዶላር የተገመተው የአፕሊኬሽን ሴኩሪቲ ገበያ በ2029 25.92 ቢሊዮን ዶላር ይደርሳል ተብሎ ይጠበቃል ሲል ሞርዶር ኢንተለጀንስ ዘግቧል።
ዋግነር እንደ DevOps ያሉ መፍትሄዎች እያንዳንዱን የኮድ መስመር ደህንነቱ በተጠበቀ አሰራር እንዲዳብር ያስችላቸዋል፣ እንደ ሰርጎ መግባት ሙከራ እና የተጋላጭነት ቅነሳ ካሉ አገልግሎቶች በተጨማሪ። ቀጣይነት ያለው የደህንነት ትንተና ማካሄድ እና አውቶማቲክን መፈተሽ ኩባንያዎች ቅልጥፍናን ሳይጎዳ ደንቦችን እንዲያከብሩ ያስችላቸዋል ሲል አጽንዖት ሰጥቷል።
በተጨማሪም በዚህ ሂደት ውስጥ ልዩ የማማከር አገልግሎቶች አስፈላጊ ናቸው, ኩባንያዎች ከአዲሱ PCI DSS 4.0 መስፈርቶች ጋር እንዲላመዱ ይረዳል. "በጣም ከሚፈለጉት አገልግሎቶች መካከል የፔኔትሬሽን ሙከራ፣ የቀይ ቡድን እና የሶስተኛ ወገን የደህንነት ግምገማዎች ተጋላጭነቶች በወንጀለኞች ከመጠቀማቸው በፊት ለመለየት እና ለማስተካከል ይረዳሉ" ሲል ያስረዳል።
የዲጂታል ማጭበርበር ከጊዜ ወደ ጊዜ እየተራቀቀ በመምጣቱ የውሂብ ደህንነትን ችላ ማለት አማራጭ አይደለም. "በመከላከያ እርምጃዎች ላይ ኢንቨስት የሚያደርጉ ኩባንያዎች የደንበኞቻቸውን ጥበቃ ያረጋግጣሉ እና የገበያ ቦታቸውን ያጠናክራሉ. አዲሶቹን መመሪያዎች ተግባራዊ ማድረግ ከሁሉም በላይ ደህንነቱ የተጠበቀ እና የበለጠ አስተማማኝ የክፍያ አካባቢን ለመገንባት ወሳኝ እርምጃ ነው "ሲል ይደመድማል.
