لقد اكتسب الأمن الرقمي للتو قواعد جديدة وتحتاج الشركات التي تعالج بيانات البطاقة إلى التكيف. مع وصول الإصدار 4.0 من معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS)، الذي أنشأه مجلس معايير أمان PCI (PCI SSC)، أصبحت التغييرات مهمة وتؤثر بشكل مباشر على حماية بيانات العملاء وكيفية الدفع يتم تخزين البيانات ومعالجتها ونقلها. ولكن، بعد كل شيء، ما الذي يتغير حقا؟
التغيير الرئيسي هو الحاجة إلى مستوى أعلى من الأمن الرقمي. سيتعين على الشركات الاستثمار في التقنيات المتقدمة مثل التشفير القوي والمصادقة متعددة العوامل. وتتطلب هذه الطريقة عاملي تحقق على الأقل لتأكيد هوية المستخدم قبل منح حق الوصول إلى الأنظمة أو التطبيقات أو المعاملات، مما يجعل من الصعب على المهاجمين اختراقها حتى لو كان لدى المجرمين إمكانية الوصول إلى كلمات المرور أو البيانات الشخصية.
ومن عوامل المصادقة المستخدمة:
- شيء يعرفه المستخدم: كلمات المرور أو أرقام التعريف الشخصية أو الإجابات على الأسئلة الأمنية.
- شيء لدى المستخدم: الرموز المميزة الفعلية، والرسائل النصية القصيرة التي تحتوي على رموز التحقق، وتطبيقات المصادقة (مثل Google Authenticator) أو الشهادات الرقمية.
- شيء هو المستخدم: القياسات الحيوية الرقمية للوجه، التعرف على الصوت أو قزحية العين.
ويوضح أن طبقات الحماية هذه تجعل الوصول غير المصرح به أكثر صعوبة وتضمن قدرًا أكبر من الأمان للبيانات المرسلة.
باختصار، نحتاج إلى تعزيز حماية بيانات العملاء من خلال تنفيذ تدابير إضافية لمنع الوصول غير المصرح به إلى موقع Rugby، كما يوضح فاغنر إلياس، الرئيس التنفيذي لشركة Conviso، مطور الحلول لأمن التطبيقات. ويشير إلى أن الأمر لم يعد يتعلق بتكييف لعبة“ عندما يكون ذلك ضروريًا لتسلسل، بل للعمل بشكل وقائي.
وفقًا للقواعد الجديدة، يتم التنفيذ على مرحلتين: الأولى، مع 13 متطلبًا جديدًا، وكان الموعد النهائي لها في مارس 2024. أما المرحلة الثانية، وهي أكثر تطلبًا، فقد تتضمن 51 متطلبًا إضافيًا ويجب الوفاء بها بحلول 31 مارس 2025. أي أن أولئك الذين لم يستعدوا قد يواجهون عقوبات شديدة.
لتناسب المتطلبات الجديدة، تتضمن بعض الإجراءات الرئيسية ما يلي: التنفيذ جدران الحماية أنظمة حماية قوية؛ استخدام التشفير في نقل البيانات وتخزينها؛ مراقبة وتتبع الوصول والنشاط المشبوه بشكل مستمر؛ اختبار العمليات والأنظمة باستمرار لتحديد نقاط الضعف؛ إنشاء والحفاظ على سياسة صارمة لأمن المعلومات.
ويشير فاغنر إلى أن هذا يعني من الناحية العملية أن أي شركة تتعامل مع مدفوعات البطاقات ستحتاج إلى مراجعة هيكل الأمان الرقمي الخاص بها بالكامل. وهذا ينطوي على تحديث الأنظمة، وإنفاذ السياسات الداخلية، وتدريب الفرق لتقليل المخاطر. “ على سبيل المثال، ستحتاج التجارة الإلكترونية إلى التأكد من تشفير بيانات العملاء من طرف إلى طرف وأن المستخدمين المصرح لهم فقط هم الذين يمكنهم الوصول إلى المعلومات الحساسة. ويوضح قائلاً: "سيتعين على شبكة البيع بالتجزئة بالفعل تنفيذ آليات للمراقبة المستمرة لمحاولات الاحتيال المحتملة وتسريب البيانات".
ستحتاج البنوك وشركات التكنولوجيا المالية أيضًا إلى تعزيز آليات المصادقة الخاصة بها، وتوسيع استخدام التقنيات مثل القياسات الحيوية والمصادقة متعددة العوامل. ويهدف Ra“O إلى جعل المعاملات أكثر أمانًا دون المساس بتجربة العملاء. وهذا يتطلب توازنًا بين الحماية وسهولة الاستخدام، وهو الأمر الذي لقد قام القطاع المالي بالفعل بتحسينه في السنوات الأخيرة، كما يشير.
ولكن لماذا هذا التغيير مهم جدا؟ ليس من المبالغة القول إن الاحتيال الرقمي أصبح معقدًا بشكل متزايد. يمكن أن تؤدي خروقات البيانات إلى خسائر مليونيرة وأضرار لا يمكن إصلاحها لثقة العملاء.
يحذر فاغنر إلياس: لا تزال العديد من الشركات تتبنى موقف رد الفعل، ولا تقلق بشأن الأمن إلا بعد وقوع الهجوم. وهذا السلوك مثير للقلق، لأن الإخفاقات الأمنية يمكن أن تسبب خسائر مالية كبيرة وأضرارا لا يمكن إصلاحها لسمعة المنظمة، وهو ما يمكن تجنبه من خلال التدابير الوقائية.
ويشير أيضًا إلى أنه لتجنب هذه المخاطر، فإن الفارق الكبير هو اعتماد ممارسات أمن التطبيقات (أمن التطبيقات) منذ بداية تطوير التطبيق الجديد، مما يضمن أن كل مرحلة من مراحل دورة تطوير البرمجيات لديها بالفعل تدابير حماية. وهذا يضمن إدراج تدابير الحماية في جميع مراحل دورة حياة البرنامج، كونها أكثر اقتصادا بكثير من معالجة الضرر بعد حادث التوصيل.
ومن المتوقع أن يصل سوق أمن التطبيقات، الذي ينقل 11.62 مليار دولار أمريكي في عام 2024، إلى 25.92 مليار دولار أمريكي بحلول عام 2029، وفقًا لشركة Mordor Intelligence.
يوضح فاغنر أن حلول مثل DevOps تسمح بتطوير كل سطر من التعليمات البرمجية باستخدام ممارسات الحماية، بالإضافة إلى خدمات مثل اختبار الاختراق وتخفيف نقاط الضعف.“تحليل أداء الأمان وأتمتة الاختبار يمكّن الشركات من تلبية المعايير دون المساس بكفاءة تحديد الاتجاه.
بالإضافة إلى ذلك، تعد الاستشارات المتخصصة مهمة في هذه العملية، حيث تساعد الشركات على التكيف مع المتطلبات الجديدة لـ PCI DSS 4.0.“، ومن بين الخدمات الأكثر طلبًا اختبار الاختراق والفريق الأحمر وتقييمات الأمان من طرف ثالث، والتي تساعد في تحديد نقاط الضعف وتصحيحها قبل أن يتم استغلالها من قبل مجرمي J”، كما يقول.
ومع تزايد تطور عمليات الاحتيال الرقمي، لم يعد تجاهل أمن البيانات خيارًا. “: الشركات التي تستثمر في التدابير الوقائية تضمن حماية عملائها وتعزز مكانتها في السوق. ويخلص إلى أن تنفيذ المبادئ التوجيهية الجديدة هو، في المقام الأول، خطوة أساسية لبناء بيئة دفع أكثر أمانًا وموثوقية.
Portuguese (Brazil) 
English 
Spanish 
German 
Chinese (Hong Kong) 
Russian 
Hindi 
French 
Italian 
Japanese 
Arabic 
Chinese (Taiwan) 
Bengali 
Bulgarian 
Czech 
Danish 
Greek 
Finnish 
Croatian 
Hungarian 
Indonesian 
Korean 
Lithuanian 
Dutch 
Norwegian 
Polish 
Portuguese (Angola) 
Portuguese (Portugal) 
Romanian 
Slovak 
Slovenian 
Swedish 
Thai 
Turkish 
Ukrainian 
Vietnamese 
Chinese (China)