الأمان الرقمي قد حصل للتو على قواعد جديدة ويجب على الشركات التي تعالج بيانات البطاقات التكيف معها. مع وصول الإصدار 4.0 من معيار أمان بيانات قطاع بطاقات الدفع (PCI DSS)، الذي وضعه مجلس معايير أمان PCI (PCI SSC)، فإن التغييرات مهمة وتؤثر مباشرة على حماية بيانات العملاء وكيفية تخزين ومعالجة ونقل بيانات الدفع. لكن، في النهاية، ما الذي يتغير حقًا؟
التغيير الرئيسي هو الحاجة إلى مستوى أعلى من الأمان الرقمي. ستضطر الشركات إلى الاستثمار في تقنيات متقدمة، مثل التشفير القوي والمصادقة متعددة العوامل. يتطلب هذا الأسلوب على الأقل عاملين للتحقق لتأكيد هوية المستخدم قبل منح الوصول إلى الأنظمة أو التطبيقات أو المعاملات، مما يصعب الاختراقات، حتى لو كان المجرمون يمتلكون كلمات المرور أو البيانات الشخصية.
من بين عوامل المصادقة المستخدمة هي:
- شيء يعرفه المستخدمكلمات المرور، أرقام التعريف الشخصية أو إجابات أسئلة الأمان.
- شيء يمتلكه المستخدمرموز مادية، رسائل قصيرة تحتوي على رموز التحقق، تطبيقات المصادقة (مثل Google Authenticator) أو الشهادات الرقمية.
- شيء ما هو المستخدمالبيومترية الرقمية، الوجه، التعرف على الصوت أو القزحية.
توضح: "هذه الطبقات من الحماية تجعل الوصول غير المصرح به أكثر صعوبة بكثير وتضمن أمانًا أكبر للبيانات الحساسة".
باختصار، من الضروري تعزيز حماية بيانات العملاء، من خلال تنفيذ تدابير إضافية لمنع الوصول غير المصرح به، يوضح واغنر إلياس، المدير التنفيذي لشركة كونفيزو، المطورة لحلول أمان التطبيقات. "لم يعد الأمر يتعلق بـ"التكيف عند الضرورة"، بل بالتصرف بشكل وقائي"، يبرز.
وفقًا للقواعد الجديدة، يتم التنفيذ على مرحلتين: المرحلة الأولى، التي تتضمن 13 متطلبًا جديدًا، كان الموعد النهائي لها في مارس 2024. أما المرحلة الثانية، الأكثر تطلبًا، فتشمل 51 متطلبًا إضافيًا ويجب إكمالها بحلول 31 مارس 2025. أيضا، من لا يستعد قد يواجه عقوبات صارمة.
لتلبية المتطلبات الجديدة، تشمل بعض الإجراءات الرئيسية: تنفيذجدران الحمايةوأنظمة حماية قوية؛ استخدام التشفير في نقل وتخزين البيانات؛ مراقبة وتتبع الوصول والنشاطات المشبوهة بشكل مستمر؛ اختبار العمليات والأنظمة باستمرار لتحديد الثغرات؛ إنشاء والحفاظ على سياسة صارمة لأمن المعلومات.
يؤكد فاغنر أن هذا يعني عمليًا أن أي شركة تتعامل مع المدفوعات عبر البطاقة ستحتاج إلى مراجعة جميع هياكلها الأمنية الرقمية. يتضمن ذلك تحديث الأنظمة، وتعزيز السياسات الداخلية، وتدريب الفرق لتقليل المخاطر. على سبيل المثال، ستحتاج شركة التجارة الإلكترونية إلى ضمان تشفير بيانات العملاء من النهاية إلى النهاية وأن يكون الوصول إلى المعلومات الحساسة مقتصرًا على المستخدمين المصرح لهم فقط. أما شبكة البيع بالتجزئة فستضطر إلى تنفيذ آليات لمراقبة محاولات الاحتيال وتسرب البيانات بشكل مستمر، كما يوضح.
ستحتاج البنوك والشركات التقنية أيضًا إلى تعزيز آليات المصادقة الخاصة بها، من خلال توسيع استخدام تقنيات مثل القياسات الحيوية والمصادقة متعددة العوامل. الهدف هو جعل المعاملات أكثر أمانًا دون المساس بتجربة العميل. يتطلب ذلك توازنًا بين الحماية وسهولة الاستخدام، وهو شيء يطوره القطاع المالي بالفعل في السنوات الأخيرة، وفقًا لما تم تسليط الضوء عليه.
لكن، لماذا هذا التغيير مهم جدًا؟ ليس من المبالغة القول إن الاحتيالات الرقمية أصبحت أكثر تطورًا. اختراقات البيانات قد تؤدي إلى خسائر بملايين الدولارات وأضرار لا يمكن إصلاحها لثقة العملاء.
واجنر إلياس يحذر: "لا تزال العديد من الشركات تتبع نهجًا رد فعل، حيث تقلق بشأن الأمان فقط بعد وقوع هجوم. هذا السلوك مقلق، حيث أن ثغرات الأمان يمكن أن تؤدي إلى خسائر مالية كبيرة وأضرار لا يمكن إصلاحها لسمعة المنظمة، والتي يمكن تجنبها باتخاذ تدابير وقائية."
كما يبرز أيضًا أن لتجنب هذه المخاطر، فإن الفارق الكبير هو اعتماد ممارسات أمان التطبيقات منذ بداية تطوير التطبيق الجديد، مع ضمان أن كل مرحلة من دورة تطوير البرمجيات تتضمن تدابير حماية. هذا يضمن إدراج تدابير الحماية في جميع مراحل دورة حياة البرمجيات، وهو أكثر اقتصادًا بكثير من تصحيح الأضرار بعد وقوع الحادث.
من الجدير بالذكر أن هذه اتجاه يتزايد في جميع أنحاء العالم. سوق أمن التطبيقات، الذي يقدر بحوالي 11.62 مليار دولار في عام 2024، من المتوقع أن يصل إلى 25.92 مليار دولار بحلول عام 2029، وفقًا لموردور إنتلجنس.
واغنر يوضح أن الحلول مثل DevOps تتيح لكل سطر من الشفرة أن يُطور بممارسات الحماية، بالإضافة إلى خدمات مثل اختبارات الاختراق وتخفيف الثغرات الأمنية. "إجراء تحليلات أمنية مستمرة واختبارات أتمتة يسمح للشركات بالامتثال للمعايير دون المساس بالكفاءة"، يبرز.
بالإضافة إلى ذلك، تعتبر الاستشارات المتخصصة مهمة في هذه العملية، حيث تساعد الشركات على التكيف مع المتطلبات الجديدة لمعيار PCI DSS 4.0. يقول: "من بين الخدمات الأكثر طلبًا اختبار الاختراق، فريق الاختراق الأحمر وتقييمات الأمان الخاصة بالأطراف الثالثة، التي تساعد على تحديد الثغرات الأمنية وتصحيحها قبل أن يتم استغلالها من قبل المجرمين".
مع الاحتيالات الرقمية المتزايدة في التعقيد، لم يعد تجاهل أمان البيانات خيارًا. الشركات التي تستثمر في التدابير الوقائية تضمن حماية عملائها وتقوي مكانتها في السوق. تنفيذ التوجيهات الجديدة هو، قبل كل شيء، خطوة أساسية لبناء بيئة دفع أكثر أمانًا وموثوقية، يختتم.
