Digitalna sigurnost je upravo dobila nova pravila, a kompanije koje obrađuju podatke o karticama moraju se prilagoditi. Dolaskom verzije 4.0 Standarda sigurnosti podataka industrije platnih kartica (PCI DSS), koji je uspostavilo Vijeće za sigurnosne standarde PCI (PCI SSC), promjene su značajne i direktno utiču na zaštitu podataka o korisnicima i način na koji se podaci o plaćanju pohranjuju, obrađuju i prenose. Ali šta se zaista mijenja?
Glavna promjena je potreba za još višim nivoom digitalne sigurnosti. Kompanije će morati investirati u napredne tehnologije kao što su robusna enkripcija i višefaktorska autentifikacija. Ova metoda zahtijeva najmanje dva faktora verifikacije kako bi se potvrdio identitet korisnika prije odobravanja pristupa sistemima, aplikacijama ili transakcijama, što otežava hakovanje, čak i ako kriminalci dobiju pristup lozinkama ili ličnim podacima.
Među korištenim faktorima autentifikacije su:
- Nešto što korisnik zna : lozinke, PIN-ovi ili odgovori na sigurnosna pitanja.
- Nešto što korisnik posjeduje : fizički tokeni, SMS s verifikacijskim kodovima, aplikacije za autentifikaciju (poput Google Authenticatora) ili digitalni certifikati.
- Nešto što korisnik jeste : digitalna biometrijska identifikacija, biometrijska identifikacija lica, glasa ili šarenice.
„Ovi slojevi zaštite znatno otežavaju neovlašteni pristup i osiguravaju veću sigurnost osjetljivih podataka“, objašnjava on.
„Ukratko, moramo ojačati zaštitu podataka o kupcima primjenom dodatnih mjera za sprječavanje neovlaštenog pristupa“, objašnjava Wagner Elias, izvršni direktor kompanije Conviso, koja se bavi razvojem rješenja za sigurnost aplikacija. „Više se ne radi o 'prilagođavanju kada je to potrebno', već o preventivnom djelovanju“, naglašava on.
Prema novim pravilima, implementacija se odvija u dvije faze: prva, sa 13 novih zahtjeva, imala je rok do marta 2024. Druga, zahtjevnija faza, uključuje 51 dodatni zahtjev i mora se ispuniti do 31. marta 2025. Drugim riječima, oni koji se ne pripreme mogu se suočiti s ozbiljnim kaznama.
Kako bi se prilagodili novim zahtjevima, neke od ključnih akcija uključuju: implementaciju zaštitnih zidova (firewall) i robusnih sistema zaštite; korištenje enkripcije u prijenosu i pohranjivanju podataka; kontinuirano praćenje i nadzor sumnjivih pristupa i aktivnosti; stalno testiranje procesa i sistema radi identifikacije ranjivosti; te kreiranje i održavanje rigorozne politike sigurnosti informacija.
Wagner naglašava da to u praksi znači da će svaka kompanija koja se bavi plaćanjem karticama morati preispitati cijelu svoju digitalnu sigurnosnu strukturu. To uključuje ažuriranje sistema, jačanje internih politika i obuku timova kako bi se rizici sveli na minimum. "Na primjer, kompanija za e-trgovinu morat će osigurati da su podaci o kupcima šifrirani od početka do kraja i da samo ovlašteni korisnici imaju pristup osjetljivim informacijama. S druge strane, maloprodajni lanac morat će implementirati mehanizme za kontinuirano praćenje mogućih pokušaja prevare i curenja podataka", objašnjava on.
Banke i fintech kompanije će također morati ojačati svoje mehanizme autentifikacije, proširujući upotrebu tehnologija poput biometrije i višefaktorske autentifikacije. "Cilj je učiniti transakcije sigurnijim bez ugrožavanja korisničkog iskustva. To zahtijeva ravnotežu između zaštite i upotrebljivosti, nešto što finansijski sektor poboljšava posljednjih godina", naglašava on.
Ali zašto je ova promjena toliko važna? Nije pretjerano reći da digitalne prevare postaju sve sofisticiranije. Kršenje podataka može rezultirati gubicima od miliona dolara i nepopravljivom štetom na povjerenju kupaca.
Wagner Elias upozorava: „Mnoge kompanije i dalje usvajaju reaktivni pristup, brinući se o sigurnosti tek nakon što se napad dogodi. Ovakvo ponašanje je zabrinjavajuće, jer sigurnosni propusti mogu dovesti do značajnih finansijskih gubitaka i nepopravljive štete po ugled organizacije, što bi se moglo izbjeći preventivnim mjerama.“
Dalje naglašava da je, kako bi se izbjegli ovi rizici, ključno usvojiti prakse sigurnosti aplikacija od samog početka razvoja nove aplikacije, osiguravajući da svaka faza ciklusa razvoja softvera već ima zaštitne mjere. To osigurava da se zaštitne mjere implementiraju u svim fazama životnog ciklusa softvera, što je mnogo isplativije od saniranja štete nakon incidenta.
Vrijedi napomenuti da je ovo rastući trend širom svijeta. Prema podacima Mordor Intelligence, tržište sigurnosti aplikacija, koje je 2024. godine procijenjeno na 11,62 milijarde dolara, trebalo bi do 2029. godine dostići 25,92 milijarde dolara.
Wagner objašnjava da rješenja poput DevOps-a omogućavaju razvoj svake linije koda sigurnim praksama, pored usluga poput testiranja penetracije i ublažavanja ranjivosti. "Provođenje kontinuirane sigurnosne analize i automatizacije testiranja omogućava kompanijama da se pridržavaju propisa bez ugrožavanja efikasnosti", naglašava on.
Nadalje, specijalizirane konsultantske usluge su važne u ovom procesu, pomažući kompanijama da se prilagode novim zahtjevima PCI DSS 4.0. "Među najtraženijim uslugama su testiranje penetracije, Red Team i procjene sigurnosti trećih strana, koje pomažu u identifikaciji i ispravljanju ranjivosti prije nego što ih kriminalci mogu iskoristiti", objašnjava on.
S obzirom na to da digitalne prevare postaju sve sofisticiranije, ignorisanje sigurnosti podataka više nije opcija. "Kompanije koje ulažu u preventivne mjere osiguravaju zaštitu svojih kupaca i jačaju svoju tržišnu poziciju. Implementacija novih smjernica je, prije svega, bitan korak ka izgradnji sigurnijeg i pouzdanijeg okruženja za plaćanja", zaključuje on.
