La seguretat digital acaba d'aconseguir noves normes i les empreses que processen dades de targetes s'hi han d'adaptar. Amb l'arribada de la versió 4.0 de l'estàndard de seguretat de dades de la indústria de targetes de pagament (PCI DSS), establert pel Consell d'estàndards de seguretat PCI (PCI SSC), els canvis són significatius i afecten directament la protecció de les dades dels clients i la manera com s'emmagatzemen, processen i transmeten les dades de pagament. Però, què canvia realment?
El principal canvi és la necessitat d'un nivell encara més alt de seguretat digital. Les empreses hauran d'invertir en tecnologies avançades com ara el xifratge robust i l'autenticació multifactor. Aquest mètode requereix almenys dos factors de verificació per confirmar la identitat d'un usuari abans de concedir accés a sistemes, aplicacions o transaccions, cosa que dificulta la pirateria informàtica, fins i tot si els delinqüents accedeixen a contrasenyes o dades personals.
Entre els factors d'autenticació utilitzats hi ha:
- Alguna cosa que l'usuari sap : contrasenyes, PIN o respostes a preguntes de seguretat.
- Quelcom que té l'usuari : tokens físics, SMS amb codis de verificació, aplicacions d'autenticació (com ara Google Authenticator) o certificats digitals.
- Quelcom que l'usuari és : biometria de reconeixement digital, facial, de veu o de l'iris.
«Aquestes capes de protecció dificulten molt més l'accés no autoritzat i garanteixen una major seguretat per a les dades sensibles», explica.
"En resum, hem de reforçar la protecció de les dades dels clients implementant mesures addicionals per evitar l'accés no autoritzat", explica Wagner Elias, CEO de Conviso, desenvolupador de solucions de seguretat d'aplicacions. "Ja no es tracta d'"adaptar-se quan calgui", sinó d'actuar preventivament", emfatitza.
Segons les noves normes, la implementació es produeix en dues fases: la primera, amb 13 nous requisits, tenia com a data límit el març del 2024. La segona fase, més exigent, inclou 51 requisits addicionals i s'han de complir abans del 31 de març del 2025. En altres paraules, aquells que no es preparin poden afrontar sancions severes.
Per adaptar-se als nous requisits, algunes de les accions clau inclouen: implementar tallafocs i sistemes de protecció robustos; utilitzar xifratge en la transmissió i l'emmagatzematge de dades; monitoritzar i rastrejar contínuament els accessos i l'activitat sospitosos; provar constantment els processos i sistemes per identificar vulnerabilitats; i crear i mantenir una política rigorosa de seguretat de la informació.
Wagner emfatitza que, a la pràctica, això significa que qualsevol empresa que gestioni pagaments amb targeta haurà de revisar tota la seva estructura de seguretat digital. Això implica actualitzar els sistemes, enfortir les polítiques internes i formar els equips per minimitzar els riscos. "Per exemple, una empresa de comerç electrònic haurà d'assegurar-se que les dades dels clients estiguin xifrades de principi a fi i que només els usuaris autoritzats tinguin accés a la informació sensible. Una cadena minorista, en canvi, haurà d'implementar mecanismes per controlar contínuament possibles intents de frau i fuites de dades", explica.
Els bancs i les tecnologies financeres (fintech) també hauran de reforçar els seus mecanismes d'autenticació, ampliant l'ús de tecnologies com la biometria i l'autenticació multifactor. "L'objectiu és fer que les transaccions siguin més segures sense comprometre l'experiència del client. Això requereix un equilibri entre protecció i usabilitat, una cosa que el sector financer ha anat millorant en els darrers anys", emfatitza.
Però, per què és tan important aquest canvi? No és exagerat dir que el frau digital és cada cop més sofisticat. Les filtracions de dades poden provocar milions de dòlars en pèrdues i danys irreparables a la confiança dels clients.
Wagner Elias adverteix: "Moltes empreses encara adopten un enfocament reactiu, només preocupant-se per la seguretat després que es produeixi un atac. Aquest comportament és preocupant, ja que les bretxes de seguretat poden provocar pèrdues financeres importants i danys irreparables a la reputació de l'organització, que es podrien evitar amb mesures preventives".
A més, emfatitza que per evitar aquests riscos, la clau és adoptar pràctiques de seguretat d'aplicacions des del principi del desenvolupament de la nova aplicació, garantint que cada fase del cicle de desenvolupament de programari ja tingui mesures de protecció. Això garanteix que les mesures de protecció s'implementin en totes les etapes del cicle de vida del programari, cosa que és molt més rendible que solucionar els danys després d'un incident.
Val a dir que aquesta és una tendència creixent a tot el món. Segons Mordor Intelligence, es preveu que el mercat de la seguretat d'aplicacions, que es va valorar en 11.620 milions de dòlars el 2024, arribi als 25.920 milions de dòlars el 2029.
Wagner explica que solucions com DevOps permeten desenvolupar cada línia de codi amb pràctiques segures, a més de serveis com proves de penetració i mitigació de vulnerabilitats. "Realitzar anàlisis de seguretat contínues i automatització de proves permet a les empreses complir amb les normatives sense comprometre l'eficiència", emfatitza.
A més, els serveis de consultoria especialitzada són importants en aquest procés, ajudant les empreses a adaptar-se als nous requisits de la norma PCI DSS 4.0. "Entre els serveis més sol·licitats hi ha les proves de penetració, l'equip vermell i les avaluacions de seguretat de tercers, que ajuden a identificar i corregir vulnerabilitats abans que puguin ser explotades pels delinqüents", explica.
Amb el frau digital cada cop més sofisticat, ignorar la seguretat de les dades ja no és una opció. "Les empreses que inverteixen en mesures preventives garanteixen la protecció dels seus clients i reforcen la seva posició al mercat. La implementació de les noves directrius és, sobretot, un pas essencial cap a la construcció d'un entorn de pagaments més segur i fiable", conclou.
