Кредитни карти: какво се променя с новите правила за цифрова сигурност

Цифровата сигурност току-що получи нови правила и компаниите, които обработват картови данни, трябва да се адаптират С пристигането на версия 4.0 на стандарта за сигурност на данните в индустрията за разплащателни карти (PCI DSS), създаден от Съвета за стандарти за сигурност на PCI (PCI SSC), промените са важни и пряко влияят върху защитата на клиентските данни и как се съхраняват, обработват и предават данните за плащанията. Но в крайна сметка какво наистина се променя?

Основната промяна е необходимостта от още по-високо ниво на цифрова сигурност Предприятията ще трябва да инвестират в модерни технологии като стабилно криптиране и многофакторно удостоверяванеТози метод изисква поне два фактора за проверка, за да потвърди самоличността на потребителя, преди да предостави достъп до системи, приложения или транзакции, което затруднява хакването на нападателите, дори ако престъпниците имат достъп до пароли или лични данни.

Сред използваните фактори за удостоверяване са:

• Нещо, което потребителят знае: пароли, ПИН кодове или отговори на въпроси за сигурност.
• Нещо, което потребителят има: физически токени, SMS с кодове за потвърждение, приложения за удостоверяване (като Google Authenticator) или цифрови сертификати.
• Нещо, което потребителят е: дигитално, лицева биометрия, разпознаване на глас или ирис.

“Тези слоеве на защита правят неоторизирания достъп много по-труден и осигуряват по-голяма сигурност за ИЗПРАТЕНИТЕ данни, обяснява той.

“Накратко, трябва да засилим защитата на клиентските данни чрез прилагане на допълнителни мерки за предотвратяване на неоторизиран достъп”, обяснява Вагнер Елиас, главен изпълнителен директор на Conviso, разработчик на решение за сигурност на приложенията. “Вече не става въпрос за “се адаптира, когато е необходимо”, а за превантивно действие”, посочва той.

Според новите правила изпълнението се осъществява в две фази: първата, с 13 нови изисквания, имаше краен срок през март 2024 г. вече втората фаза, по-взискателна, включва 51 допълнителни изисквания и трябва да бъде изпълнена до 31 март 2025 г. тоест тези, които не са се подготвили, могат да бъдат изправени пред тежки наказания.

За да отговарят на новите изисквания, някои от основните действия включват: изпълнение защитни стени стабилни системи за защита; използват криптиране при предаване и съхранение на данни; непрекъснато наблюдават и проследяват подозрителния достъп и активност; постоянно тестват процеси и системи за идентифициране на уязвимости; създават и поддържат строга политика за информационна сигурност.

Вагнер посочва, че на практика това означава, че всяка компания, която обработва картови плащания, ще трябва да преразгледа цялата си цифрова структура за сигурност. Това включва актуализиране на системи, прилагане на вътрешни политики и обучение на екипи за минимизиране на риска. “Например, електронната търговия ще трябва да гарантира, че клиентските данни са криптирани от край до край и че само оторизирани потребители имат достъп до чувствителна информация. Вече мрежата за търговия на дребно ще трябва да прилага механизми за непрекъснато наблюдение на възможни опити за измами и изтичане на данни”, илюстрира той.

Банките и финтех компаниите също ще трябва да укрепят механизмите си за удостоверяване, разширявайки използването на технологии като биометрични данни и многофакторно удостоверяване “О има за цел да направи транзакциите по-сигурни, без да компрометира клиентското изживяванеТова изисква баланс между защита и използваемост, нещо, което финансовият сектор вече подобрява през последните години”, посочва той.

Но защо тази промяна е толкова важна? не е преувеличено да се каже, че цифровите измами са все по-сложни. Нарушенията на данните могат да доведат до загуби на милионери и непоправими щети за доверието на клиентите. 

Вагнер Елиас предупреждава: “много компании все още заемат реактивна позиция, тревожейки се за сигурността само след като се случи атака. Това поведение е тревожно, тъй като пропуските в сигурността могат да причинят значителни финансови загуби и непоправими щети на репутацията на организацията, които могат да бъдат избегнати с превантивни мерки”.

Той също така посочва, че за да се избегнат тези рискове, голямата разлика е да се възприемат практики за сигурност на приложенията (Application Security) от началото на разработването на новото приложение, като се гарантира, че всяка фаза от цикъла на разработка на софтуер вече има мерки за защита, Това гарантира вмъкването на мерки за защита във всички фази на жизнения цикъл на софтуера, като е много по-икономично от отстраняването на щетите след” инцидент.

Пазарът за сигурност на приложенията, който движи 11,62 милиарда US$ през 2024 г., се очаква да достигне 25,92 милиарда US$ до 2029 г., според Mordor Intelligence.

Вагнер обяснява, че решения като DevOps позволяват всеки ред код да бъде разработен с практики за защита, както и услуги като тестване за проникване и смекчаване на уязвимостта. “Анализът на ефективността на сигурността и автоматизацията на тестовете позволява на компаниите да отговарят на стандартите, без да правят компромис с” ефективността.

Освен това специализираното консултиране е важно в този процес, като помага на компаниите да се адаптират към новите изисквания на PCI DSS 4.0“Сред най-търсените услуги са Penetration Testing, Red Team и оценки на сигурността на трети страни, които помагат за идентифициране и коригиране на уязвимости преди те могат да бъдат използвани от” престъпници, казва той.

Тъй като цифровите измами стават все по-сложни, игнорирането на сигурността на данните вече не е опция. “Компаниите, които инвестират в превантивни мерки, гарантират защитата на своите клиенти и укрепват позицията си на пазара. Прилагането на новите насоки е преди всичко съществена стъпка за изграждане на по-безопасна и по-надеждна среда за плащане”, заключава той.