لقد اكتسب الأمن الرقمي قواعد جديدة، وعلى الشركات التي تعالج بيانات البطاقات التكيف مع هذه التغييرات. مع إصدار الإصدار 4.0 من معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS)، الذي وضعه مجلس معايير أمان PCI (PCI SSC)، تُعدّ هذه التغييرات جوهرية وتؤثر بشكل مباشر على حماية بيانات العملاء وكيفية تخزين بيانات الدفع ومعالجتها ونقلها. ولكن ما الذي سيتغير حقًا؟
التغيير الرئيسي هو الحاجة إلى مستوى أعلى من الأمن الرقمي. سيتعين على الشركات الاستثمار في تقنيات متقدمة مثل التشفير القوي والمصادقة متعددة العوامل. تتطلب هذه الطريقة عاملي تحقق على الأقل لتأكيد هوية المستخدم قبل منحه حق الوصول إلى الأنظمة أو التطبيقات أو المعاملات، مما يزيد من صعوبة الاختراق، حتى لو تمكن المجرمون من الوصول إلى كلمات المرور أو البيانات الشخصية.
ومن بين عوامل المصادقة المستخدمة:
- شيء يعرفه المستخدم : كلمات المرور، أو أرقام التعريف الشخصية، أو إجابات الأسئلة الأمنية.
- شيء يمتلكه المستخدم : رموز مادية، أو رسائل نصية قصيرة تحتوي على رموز التحقق، أو تطبيقات المصادقة (مثل Google Authenticator)، أو الشهادات الرقمية.
- شيء ما هو المستخدم : التعرف الرقمي أو التعرف على الوجه أو الصوت أو قزحية العين.
ويوضح قائلاً: "إن طبقات الحماية هذه تجعل الوصول غير المصرح به أكثر صعوبة وتضمن أمانًا أكبر للبيانات الحساسة".
باختصار، نحتاج إلى تعزيز حماية بيانات العملاء من خلال تطبيق تدابير إضافية لمنع الوصول غير المصرح به، كما يوضح فاغنر إلياس، الرئيس التنفيذي لشركة كونفيزو، الشركة المطورة لحلول أمن التطبيقات. ويؤكد قائلاً: "لم يعد الأمر يتعلق بالتكيف عند الضرورة، بل باتخاذ إجراءات وقائية".
بموجب القواعد الجديدة، يتم التنفيذ على مرحلتين: الأولى، التي تتضمن 13 متطلبًا جديدًا، كان الموعد النهائي لها هو مارس 2024. أما المرحلة الثانية، وهي أكثر صرامة، فتتضمن 51 متطلبًا إضافيًا ويجب استيفاؤها بحلول 31 مارس 2025. بمعنى آخر، قد يواجه أولئك الذين يفشلون في الاستعداد عقوبات شديدة.
للتكيف مع المتطلبات الجديدة، تتضمن بعض الإجراءات الرئيسية ما يلي: تنفيذ جدران الحماية وأنظمة الحماية القوية؛ واستخدام التشفير في نقل البيانات وتخزينها؛ والمراقبة المستمرة وتتبع الوصول والأنشطة المشبوهة؛ واختبار العمليات والأنظمة باستمرار لتحديد نقاط الضعف؛ وإنشاء سياسة صارمة لأمن المعلومات والحفاظ عليها.
يؤكد فاغنر أن هذا يعني عمليًا أن أي شركة تُعنى بمدفوعات البطاقات ستحتاج إلى مراجعة هيكلها الأمني الرقمي بالكامل. ويشمل ذلك تحديث الأنظمة، وتعزيز السياسات الداخلية، وتدريب الفرق للحد من المخاطر. ويوضح قائلًا: "على سبيل المثال، ستحتاج شركة التجارة الإلكترونية إلى ضمان تشفير بيانات العملاء تشفيرًا شاملًا، وأن المستخدمين المصرح لهم فقط هم من يمكنهم الوصول إلى المعلومات الحساسة. من ناحية أخرى، ستحتاج سلسلة متاجر التجزئة إلى تطبيق آليات للمراقبة المستمرة لمحاولات الاحتيال المحتملة وتسريب البيانات".
ستحتاج البنوك وشركات التكنولوجيا المالية أيضًا إلى تعزيز آليات المصادقة لديها، وتوسيع نطاق استخدام تقنيات مثل القياسات الحيوية والمصادقة متعددة العوامل. ويؤكد قائلًا: "الهدف هو جعل المعاملات أكثر أمانًا دون المساس بتجربة العميل. وهذا يتطلب توازنًا بين الحماية وسهولة الاستخدام، وهو أمرٌ شهد القطاع المالي تحسنًا ملحوظًا في السنوات الأخيرة".
لكن ما أهمية هذا التغيير؟ ليس من المبالغة القول إن الاحتيال الرقمي يزداد تعقيدًا. قد تؤدي خروقات البيانات إلى خسائر بملايين الدولارات، وإلى ضرر لا يمكن إصلاحه بثقة العملاء.
يُحذّر فاغنر إلياس قائلاً: "لا تزال العديد من الشركات تتبنى نهجًا تفاعليًا، فلا تُولي اهتمامًا أمنيًا إلا بعد وقوع هجوم. هذا السلوك مُقلق، إذ يُمكن أن تُؤدي الخروقات الأمنية إلى خسائر مالية فادحة وأضرار لا يُمكن إصلاحها بسمعة المؤسسة، وهو أمر يُمكن تجنّبه باتخاذ تدابير وقائية".
ويؤكد أيضًا أنه لتجنب هذه المخاطر، يكمن السر في تبني ممارسات أمن التطبيقات منذ بداية تطوير التطبيق الجديد، مع ضمان وجود إجراءات وقائية في كل مرحلة من مراحل دورة تطوير البرمجيات. وهذا يضمن تطبيق هذه الإجراءات الوقائية في جميع مراحل دورة حياة البرمجيات، وهو ما يُعدّ أكثر فعالية من حيث التكلفة من معالجة الأضرار بعد وقوع حادث.
تجدر الإشارة إلى أن هذا اتجاهٌ متزايدٌ عالميًا. ومن المتوقع أن يصل سوق أمن التطبيقات، الذي قُدِّر بـ 11.62 مليار دولار أمريكي عام 2024، إلى 25.92 مليار دولار أمريكي بحلول عام 2029، وفقًا لشركة Mordor Intelligence.
يوضح فاغنر أن حلولاً مثل DevOps تتيح تطوير كل سطر من التعليمات البرمجية بممارسات آمنة، بالإضافة إلى خدمات مثل اختبار الاختراق ومعالجة الثغرات الأمنية. ويؤكد قائلاً: "إن إجراء تحليل أمني مستمر وأتمتة الاختبارات يُمكّن الشركات من الامتثال للوائح دون المساس بالكفاءة".
علاوة على ذلك، تُعدّ خدمات الاستشارات المتخصصة بالغة الأهمية في هذه العملية، إذ تُساعد الشركات على التكيف مع متطلبات PCI DSS 4.0 الجديدة. ويوضح قائلاً: "من بين الخدمات الأكثر طلبًا اختبار الاختراق، والفريق الأحمر، وتقييمات الأمان من جهات خارجية، والتي تُساعد في تحديد الثغرات الأمنية ومعالجتها قبل أن يستغلها المجرمون".
مع تزايد تعقيد الاحتيال الرقمي، لم يعد تجاهل أمن البيانات خيارًا. ويختتم قائلًا: "الشركات التي تستثمر في التدابير الوقائية تضمن حماية عملائها وتعزز مكانتها في السوق. ويُعد تطبيق الإرشادات الجديدة، قبل كل شيء، خطوة أساسية نحو بناء بيئة مدفوعات أكثر أمانًا وموثوقية".
