Rəqəmsal təhlükəsizlik yeni qaydalar qazandı və kart məlumatlarını emal edən şirkətlər uyğunlaşmalıdır. PCI Təhlükəsizlik Standartları Şurası (PCI SSC) tərəfindən yaradılmış Ödəniş Kartı Sənayesi Məlumatlarının Təhlükəsizliyi Standartının (PCI DSS) 4.0 versiyasının gəlməsi ilə dəyişikliklər əhəmiyyətlidir və müştəri məlumatlarının qorunmasına və ödəniş məlumatlarının saxlanmasına, işlənməsinə və ötürülməsinə birbaşa təsir göstərir. Bəs həqiqətən nə dəyişir?
Əsas dəyişiklik rəqəmsal təhlükəsizliyin daha da yüksək səviyyəsinə ehtiyacdır. Şirkətlər möhkəm şifrələmə və çoxfaktorlu autentifikasiya kimi qabaqcıl texnologiyalara investisiya qoymalı olacaqlar. Bu üsul, sistemlərə, proqramlara və ya əməliyyatlara giriş icazəsi verməzdən əvvəl istifadəçinin şəxsiyyətini təsdiqləmək üçün ən azı iki yoxlama faktoru tələb edir ki, bu da cinayətkarların parollara və ya şəxsi məlumatlara giriş əldə etməsinə baxmayaraq, hakerliyi çətinləşdirir.
İstifadə olunan autentifikasiya amilləri arasında:
- İstifadəçinin bildiyi bir şey : parollar, PIN-lər və ya təhlükəsizlik suallarına cavablar.
- İstifadəçinin sahib olduğu bir şey : fiziki nişanlar, doğrulama kodları olan SMS, autentifikator proqramları (məsələn, Google Authenticator) və ya rəqəmsal sertifikatlar.
- İstifadəçi bir şeydir : rəqəmsal, üz, səs və ya irisin tanınması biometrikası.
"Bu qorunma təbəqələri icazəsiz girişi daha da çətinləşdirir və həssas məlumatlar üçün daha çox təhlükəsizlik təmin edir" deyə izah edir.
"Bir sözlə, icazəsiz girişin qarşısını almaq üçün əlavə tədbirlər həyata keçirməklə müştəri məlumatlarının mühafizəsini gücləndirməliyik", - Conviso şirkətinin baş direktoru, tətbiqi təhlükəsizlik həllərinin tərtibatçısı Vaqner Elias izah edir. "Artıq "lazım olduqda uyğunlaşmaq" deyil, profilaktik fəaliyyət göstərməkdir" dedi.
Yeni qaydalara əsasən, icra iki mərhələdə baş verir: 13 yeni tələbdən ibarət birincinin son tarixi 2024-cü ilin mart ayına qədər idi. İkinci, daha tələbkar mərhələ 51 əlavə tələbi əhatə edir və 31 mart 2025-ci ilə qədər yerinə yetirilməlidir. Başqa sözlə, hazırlaşmayanlar ciddi cəzalarla üzləşə bilər.
Yeni tələblərə uyğunlaşmaq üçün bəzi əsas tədbirlərə aşağıdakılar daxildir: firewall və möhkəm mühafizə sistemlərinin tətbiqi; məlumatların ötürülməsi və saxlanmasında şifrələmədən istifadə; şübhəli giriş və fəaliyyətin davamlı monitorinqi və izlənilməsi; zəiflikləri müəyyən etmək üçün prosesləri və sistemləri daim sınaqdan keçirmək; və ciddi informasiya təhlükəsizliyi siyasətinin yaradılması və saxlanması.
Vaqner vurğulayır ki, praktikada bu o deməkdir ki, kart ödənişləri ilə məşğul olan istənilən şirkət bütün rəqəmsal təhlükəsizlik strukturunu nəzərdən keçirməlidir. Bu, sistemlərin yenilənməsini, daxili siyasətlərin gücləndirilməsini və riskləri minimuma endirmək üçün komandaların hazırlanmasını əhatə edir. "Məsələn, bir e-ticarət şirkəti müştəri məlumatlarının uçdan-uca şifrələndiyini və yalnız səlahiyyətli istifadəçilərin həssas məlumatlara çıxışını təmin etməli olacaq. Digər tərəfdən, pərakəndə satış şəbəkəsi mümkün fırıldaqçılıq cəhdləri və məlumat sızmalarını davamlı olaraq izləmək üçün mexanizmlər tətbiq etməlidir" deyə izah edir.
Banklar və fintechlər həmçinin biometrika və çoxfaktorlu autentifikasiya kimi texnologiyaların istifadəsini genişləndirərək autentifikasiya mexanizmlərini gücləndirməli olacaqlar. "Məqsəd müştərilərin təcrübəsinə xələl gətirmədən əməliyyatları daha təhlükəsiz etməkdir. Bu, maliyyə sektorunun son illərdə təkmilləşdirdiyi qorunma və istifadə imkanları arasında tarazlığı tələb edir", - o vurğulayır.
Bəs bu dəyişiklik niyə bu qədər vacibdir? Rəqəmsal fırıldaqçılığın getdikcə daha təkmilləşdiyini söyləmək mübaliğə olmaz. Məlumatların pozulması milyonlarla dollar itki ilə nəticələnə bilər və müştəri etibarına düzəlməz zərər verə bilər.
Vaqner Elias xəbərdarlıq edir: "Bir çox şirkətlər hələ də reaktiv bir yanaşma tətbiq edirlər, yalnız hücum baş verdikdən sonra təhlükəsizliklə bağlı narahat olurlar. Bu davranış narahatlıq doğurur, çünki təhlükəsizlik pozuntuları əhəmiyyətli maliyyə itkilərinə və təşkilatın reputasiyasının bərpası mümkün olmayan zədələnməsinə səbəb ola bilər ki, bu da qabaqlayıcı tədbirlərlə qarşısını almaq olar".
O, daha sonra vurğulayır ki, bu risklərdən qaçmaq üçün əsas odur ki, proqram təminatının işlənib hazırlanması dövrünün hər bir mərhələsində artıq qoruyucu tədbirlərə malik olmasını təmin etməklə, yeni tətbiqin inkişafının əvvəlindən Tətbiq Təhlükəsizliyi təcrübələrini qəbul etmək lazımdır. Bu, proqram təminatının həyat dövrünün bütün mərhələlərində qoruyucu tədbirlərin həyata keçirilməsini təmin edir ki, bu da insidentdən sonra zərərin aradan qaldırılmasından qat-qat səmərəlidir."
Qeyd etmək lazımdır ki, bu, bütün dünyada artan tendensiyadır. Mordor Intelligence-ə görə, 2024-cü ildə 11,62 milyard dollar dəyərində olan tətbiq təhlükəsizliyi bazarının 2029-cu ilə qədər 25,92 milyard dollara çatacağı gözlənilir.
Vaqner izah edir ki, DevOps kimi həllər penetrasiya testi və zəifliyin azaldılması kimi xidmətlərə əlavə olaraq hər bir kod xəttini təhlükəsiz təcrübələrlə inkişaf etdirməyə imkan verir. "Təhlükəsizliyin davamlı təhlili və sınaqların avtomatlaşdırılması şirkətlərə səmərəliliyi itirmədən qaydalara əməl etməyə imkan verir" deyə vurğulayır.
Bundan əlavə, bu prosesdə şirkətlərə yeni PCI DSS 4.0 tələblərinə uyğunlaşmağa kömək edən ixtisaslaşmış məsləhət xidmətləri vacibdir. "Ən çox axtarılan xidmətlər arasında Penetrasiya Testi, Qırmızı Komanda və üçüncü tərəf təhlükəsizlik qiymətləndirmələri var ki, bu da zəiflikləri cinayətkarlar tərəfindən istismar edilməzdən əvvəl müəyyən etməyə və düzəltməyə kömək edir" dedi.
Rəqəmsal fırıldaqçılıq getdikcə təkmilləşdiyindən məlumat təhlükəsizliyinə məhəl qoymamaq artıq seçim deyil. "Profilaktik tədbirlərə sərmayə qoyan şirkətlər öz müştərilərinin müdafiəsini təmin edir və onların bazardakı mövqelərini gücləndirirlər. Yeni təlimatların həyata keçirilməsi, hər şeydən əvvəl, daha təhlükəsiz və etibarlı ödəniş mühitinin yaradılması istiqamətində mühüm addımdır", - o yekunlaşdırır.
