Kreditní karty: co se mění s novými pravidly digitální bezpečnosti

Digitální bezpečnost právě získala nová pravidla a společnosti, které zpracovávají údaje o kartách, se musí přizpůsobit S příchodem verze 4.0 standardu PCI DSS (Payment Card Industry Data Security Standard), který stanovila Rada pro bezpečnostní standardy PCI (PCI SSC), jsou změny důležité a mají přímý dopad na ochranu údajů zákazníků a na to, jak jsou platební údaje ukládány, zpracovávány a přenášeny, Ale koneckonců, co se skutečně mění?

Hlavní změnou je potřeba ještě vyšší úrovně digitálního zabezpečení Podniky budou muset investovat do pokročilých technologií, jako je robustní šifrování a vícefaktorová autentizaceTato metoda vyžaduje alespoň dva ověřovací faktory, aby potvrdily identitu uživatele před udělením přístupu k systémům, aplikacím nebo transakcím, což útočníkům ztěžuje hackování, i když mají zločinci přístup k heslům nebo osobním údajům.

Mezi použité autentizační faktory patří:

• Něco, co uživatel ví: hesla, PINy nebo odpovědi na bezpečnostní otázky.
• Něco, co má uživatel: fyzické tokeny, SMS s ověřovacími kódy, autentizační aplikace (jako je Google Authenticator) nebo digitální certifikáty.
• Něco, čím je uživatel: digitální, obličejová biometrie, rozpoznávání hlasu nebo duhovky.

“Tyto vrstvy ochrany značně ztěžují neoprávněný přístup a zajišťují větší bezpečnost pro ODESLANÁ data, vysvětluje.

“INIkt Zkrátka potřebujeme posílit ochranu zákaznických dat zavedením dodatečných opatření, která zabrání neoprávněnému přístupu k akt, vysvětluje Wagner Elias, generální ředitel společnosti Conviso, vývojář řešení pro bezpečnost aplikací. ”It Už není otázkou “znovu se přizpůsobit, když je nutné se bránit, ale preventivně jednat in, upozorňuje.

Podle nových pravidel probíhá realizace ve dvou fázích: první, s 13 novými požadavky, měla termín v březnu 2024 Již druhá fáze, náročnější, zahrnuje 51 dodatečných požadavků a měla by být splněna do 31. března 2025, To znamená, že kdo se nepřipravil, může čelit přísným sankcím.

Aby vyhovovaly novým požadavkům, některé z hlavních akcí zahrnují: implementovat firewallů robustní ochranné systémy; používat šifrování při přenosu a ukládání dat; nepřetržitě sledovat a sledovat podezřelý přístup a aktivitu; neustále testovat procesy a systémy k identifikaci zranitelných míst; vytvářet a udržovat přísnou politiku bezpečnosti informací.

Wagner poukazuje na to, že v praxi to znamená, že každá společnost, která zpracovává platby kartou, bude muset přezkoumat celou svou digitální bezpečnostní strukturu. To zahrnuje aktualizaci systémů, prosazování interních zásad a školicí týmy, aby se minimalizovalo riziko. (Například elektronický obchod bude muset zajistit, aby data zákazníků byla šifrována end-to-end a aby k citlivým informacím měli přístup pouze oprávnění uživatelé. Již maloobchodní síť bude muset zavést mechanismy pro průběžné sledování možných pokusů o podvod a úniků dat.

Banky a fintech budou také muset posílit své autentizační mechanismy, rozšířit používání technologií, jako je biometrie a multifaktorová autentizace. Cílem společnosti BIO je zajistit větší bezpečnost transakcí, aniž by byla ohrožena zákaznická zkušenost. To vyžaduje rovnováhu mezi ochranou a použitelností, což je něco, co finanční sektor již v posledních letech zlepšuje, upozorňuje.

Proč je ale tato změna tak důležitá? bez nadsázky lze říci, že digitální podvody jsou stále sofistikovanější Úniky dat mohou mít za následek milionářské ztráty a nenapravitelné škody na důvěře zákazníků. 

Wagner Elias varuje: “Spousta společností stále zaujímá reaktivní postoj, o bezpečnost se starají až poté, co dojde k útoku. Toto chování je znepokojivé, protože bezpečnostní selhání mohou způsobit značné finanční ztráty a nenapravitelné poškození pověsti organizace, čemuž by bylo možné předejít preventivními opatřeními.

Poukazuje také na to, že aby se předešlo těmto rizikům, je velkým rozdílem přijmout postupy zabezpečení aplikací (Application Security) od začátku vývoje nové aplikace, a zajistit tak, že každá fáze cyklu vývoje softwaru již má ochranná opatření, což zajišťuje vložení ochranných opatření do všech fází životního cyklu softwaru, což je mnohem ekonomičtější než náprava škod po incidentu.

Trh zabezpečení aplikací, který v roce 2024 posune o 11,62 miliardy USD, by měl podle Mordor Intelligence do roku 2029 dosáhnout 25,92 miliardy USD.

Wagner vysvětluje, že řešení jako DevOps umožňují vyvíjet každý řádek kódu s ochrannými postupy, stejně jako služby, jako je penetrační testování a zmírňování zranitelnosti. Analýza bezpečnosti a automatizace testů podle práce umožňuje společnostem splnit standardy bez kompromisů v účinnosti efektivity.

Kromě toho je v tomto procesu důležité specializované poradenství, které pomáhá společnostem přizpůsobit se novým požadavkům PCI DSS 4.0. také Mezi nejvyhledávanější služby patří Penetration Testing, Red Team a bezpečnostní hodnocení třetích stran, které pomáhají identifikovat a opravit zranitelnosti dříve, než je mohou zneužít násilní zločinci, říká.

Vzhledem k tomu, že digitální podvody jsou stále sofistikovanější, ignorování zabezpečení dat již nepřichází v úvahu. “Elektřiny, které investují do preventivních opatření, zajišťují ochranu svých zákazníků a posilují jejich pozici na trhu. Implementace nových pokynů je především zásadním krokem k vybudování bezpečnějšího a spolehlivějšího platebního prostředí, uzavírá.