في البرازيل، حيث أصبحت بطاقات الائتمان واحدة من أشكال الدفع الرئيسية وحيث تتمتع البيانات الرقمية بقيمة مماثلة لتلك النقدية، أصبحت مخاطر الاحتيال عبر الإنترنت حاضرة بشكل متزايد، مما يتطلب اهتمامًا إضافيًا من المستهلكين والشركات.
للحصول على فكرة عن حجم المشكلة، تعرض أربعة من كل عشرة برازيليين بالفعل لعمليات احتيال وجرائم مالية في البلاد، وهو ما يمثل 42٪ من البرازيليين. البيانات من "تقرير الهوية الرقمية والاحتيال 2024"، دراسة أجرتها سيراسا إكسيريان.
دراسة أخرى، الآن من الاتحاد الوطني لمديري المتاجر (CNDL) وخدمة حماية الائتمان (SPC Brasil)، بالتعاون مع سيبرا، تظهر أن حوالي 8.4 مليون مستهلك أبلغوا عن عمليات احتيال في المؤسسات المالية خلال الأشهر الاثني عشر الماضية. من بين الاحتيالات، يُعد نسخ بطاقات الائتمان والخصم هو النوع الرئيسي من الاحتيال.
على الرغم من أن حوالي 70٪ من البرازيليين يمتلكون ثلاثة بطاقات أو أكثر، وفقًا لما تشير إليه سيراسا، إلا أن إدراك المخاطر لا يزال منخفضًا. حوالي 69٪ من البرازيليين لا يزالون يقللون من خطورة تسجيل البيانات المالية على المواقع والتطبيقات، مما يعرض جزءًا كبيرًا من السكان لعمليات الاحتيال الرقمية والهجمات الإلكترونية.
وسط تصاعد التحذيرات بشأن الأمان الرقمي، تظهر أخبار جيدة: مبادرات جديدة وتطورات تكنولوجية تجعل البيئة الإلكترونية أكثر أمانًا يومًا بعد يوم.
مؤخرًا، اقترحت مجلس معايير أمان PCI (PCI SSC) إرشادات جديدة للتطوير المستمر وتحسين معايير الأمان، والتي تنطبق على الشركات التي تخزن أو تعالج أو تنقل بيانات الدفع، بالإضافة إلى المطورين والمصنعين للبرمجيات والأجهزة المستخدمة في المعاملات. تعد PCI منظمة عالمية تجمع أبرز الجهات الفاعلة في صناعة المدفوعات لتعزيز استخدام الموارد للمعاملات الآمنة.
"مع تطور التهديدات والتكنولوجيا، تتطور أيضًا معايير PCI DSS. "ولذلك، فمن الضروري الاهتمام الآن بالمتطلبات الجديدة وإجراء التعديلات اللازمة"، يحذر فاغنر إلياس، الرئيس التنفيذي لشركة Conviso، المطور لحلول أمن التطبيقات.
من بين التحديثات، تحديثات معيار أمان بيانات قطاع بطاقات الدفع (PCI DSS)، الذي تم إنشاؤه لحماية سلسلة قيمة المدفوعات باستخدام البطاقة بأكملها. متطلبات الامتثال الخاصة بك تشمل تخزين بيانات حاملي البطاقات وأمان الوصول إلى المعلومات الحساسة للدفع.
"وباختصار، من الضروري تعزيز حماية بيانات العملاء، وتنفيذ تدابير إضافية لمنع الوصول غير المصرح به"، كما يقول الخبير.
لذلك، ستحتاج الشركات إلى التكيف والاستثمار في تقنيات جديدة. للحصول على فكرة، فإن بعض هذه الحلول قادرة على تقديم رؤية كاملة للمخاطر المتعلقة بكل تطبيق. "تدمج هذه الأدوات أنظمة مختلفة، مركزة المعلومات ومساعدة في تحديد أولويات الإجراءات، كل ذلك بشكل مستمر"، يوضح الرئيس التنفيذي لشركة Conviso، حول منصتها Conviso Platform Application Security Posture Management (ASPM)، التي أُطلقت في عام 2010.
ومع ذلك، يبرز المختص أن العديد من الشركات لا تزال تتبع نهجًا رد فعلًا فيما يتعلق بأمان أنظمتها، حيث تضع الموضوع في الأولوية فقط بعد تعرضها لهجوم. هذا السلوك، وفقًا له، مقلق، حيث أن الثغرات الأمنية قد تؤدي إلى خسائر مالية كبيرة وأضرار لا يمكن إصلاحها لسمعة المنظمة، والتي يمكن تجنبها باتخاذ تدابير وقائية.
بالنسبة له، عند النظر في إنشاء برنامج جديد، من الضروري أن تدمج الشركة الأمان في كل مرحلة من دورة الإنشاء، بدءًا من جمع المتطلبات (المرحلة الأولى التي تحلل ما سيقوم به التطبيق) وحتى النشر (الإنتاج والتسليم النهائي).
"ولتجنب هذه المخاطر، فإن الفارق الكبير هو اعتماد ممارسات أمن التطبيقات منذ بداية تطوير التطبيق الجديد. ويضمن هذا تضمين التدابير الوقائية في جميع مراحل دورة حياة البرنامج. وبالإضافة إلى أن الاستثمار في الأمن الوقائي أكثر فعالية من حيث التكلفة مقارنة بمعالجة الأضرار بعد وقوع حادث، فإنه أكثر فعالية بكثير. ويقول الخبير: "هذا يسمح لنا بمنع الهجمات وحماية البيانات الحساسة وضمان الامتثال للتشريعات والمبادئ التوجيهية وضمان أن يكون التطبيق آمنًا وموثوقًا به للمستخدمين منذ البداية".
واغنر يوضح أن الشركة تطور حلولًا تدمج الأمان مع ديفوبس، مما يسمح بأن يتم تطوير كل سطر من الشفرة بممارسات الحماية، بالإضافة إلى خدمات مثل اختبارات الاختراق وتخفيف الثغرات الأمنية. إجراء تحليلات أمنية مستمرة واختبارات الأتمتة يسمح للشركات بالامتثال للمعايير دون المساس بالكفاءة، يبرز فاغنر.
بالإضافة إلى تنفيذ تقنيات قوية، يؤكد الرئيس التنفيذي لشركة Conviso على أهمية الاستشارات المتخصصة التي تساعد الشركات على التكيف مع متطلبات PCI DSS 4.0 واللوائح الأخرى. الخدمات الهجومية مثل اختبار الاختراق، فريق الاختراق، وتقييمات الأمان من طرف ثالث تعزز نهجًا أمنيًا استباقيًا وشاملًا، حيث تحدد الثغرات وتصححها قبل أن يتم استغلالها.
يجب تسريع الاستثمارات
هذه التحول في الأمن الرقمي يعزز ثقة المستهلكين في بيئة آمنة على الإنترنت، كما يواكب النمو السريع لسوق أمان التطبيقات، الذي من المتوقع أن يتوسع من 11.62 مليار دولار في عام 2024 إلى 25.92 مليار دولار بحلول عام 2029، وفقًا لموردور إنتلجنس. "تطبيق التكنولوجيا المتقدمة يمثل تحولًا في الحماية الرقمية ويعزز الثقة في سوق يعتمد، أكثر من أي وقت مضى، على الأمان للازدهار"، يختتم فاغنر.
تعرف على قائمة متطلبات PCI DSS الـ 12 التي يجب أن يلبيها فحص التوافق 4.0:
- تثبيت جدار الحماية وصيانته
- حذف التكوين الافتراضي للبائع
- حماية بيانات حامل البطاقة المخزنة
- تشفير نقل بيانات الدفع
- قم بتحديث برنامج مكافحة الفيروسات الخاص بك بانتظام
- نشر أنظمة وتطبيقات آمنة
- تقييد الوصول إلى بيانات حامل البطاقة حسب الحاجة
- تعيين معرف وصول المستخدم
- تقييد الوصول المادي إلى البيانات
- تتبع ومراقبة الوصول إلى الشبكة
- اختبار العمليات والأنظمة بشكل مستمر بحثًا عن الثغرات الأمنية
- إنشاء سياسة أمان المعلومات والحفاظ عليها
يتم تنفيذ إرشادات PCI DSS 4.0 على مرحلتين:
- المرحلة الأولى، التي تضمنت 13 متطلبًا جديدًا، كان الموعد النهائي لها هو 31 مارس 2024.
- المرحلة الثانية، والتي تتضمن 51 متطلبًا إضافيًا، يجب تنفيذها بحلول 31 مارس 2025.
