Digitální bezpečnost právě získala nová pravidla a společnosti, které zpracovávají data o kartách, se jim musí přizpůsobit. S příchodem verze 4.0 standardu Payment Card Industry Data Security Standard (PCI DSS), který zavedla Rada pro bezpečnostní standardy PCI (PCI SSC), jsou změny významné a přímo ovlivňují ochranu zákaznických dat a způsob ukládání, zpracování a přenosu platebních dat. Co se ale skutečně mění?
Hlavní změnou je potřeba ještě vyšší úrovně digitálního zabezpečení. Firmy budou muset investovat do pokročilých technologií, jako je robustní šifrování a vícefaktorové ověřování. Tato metoda vyžaduje alespoň dva ověřovací faktory k ověření identity uživatele před udělením přístupu k systémům, aplikacím nebo transakcím, což ztěžuje hacking, a to i v případě, že zločinci získají přístup k heslům nebo osobním údajům.
Mezi použité autentizační faktory patří:
- Něco, co uživatel zná : hesla, PINy nebo odpovědi na bezpečnostní otázky.
- Něco, co uživatel má : fyzické tokeny, SMS s ověřovacími kódy, ověřovací aplikace (například Google Authenticator) nebo digitální certifikáty.
- Něco, co uživatel je : digitální biometrie, rozpoznávání obličeje, hlasu nebo duhovky.
„Tyto vrstvy ochrany značně ztěžují neoprávněný přístup a zajišťují větší zabezpečení citlivých dat,“ vysvětluje.
„Stručně řečeno, musíme posílit ochranu zákaznických dat zavedením dalších opatření, která zabrání neoprávněnému přístupu,“ vysvětluje Wagner Elias, generální ředitel společnosti Conviso, která se zabývá vývojem řešení pro zabezpečení aplikací. „Už nejde o to ‚přizpůsobit se, když je to nutné‘, ale jednat preventivně,“ zdůrazňuje.
Podle nových pravidel probíhá implementace ve dvou fázích: první, s 13 novými požadavky, měla termín v březnu 2024. Druhá, náročnější fáze zahrnuje 51 dalších požadavků a musí být splněna do 31. března 2025. Jinými slovy, ti, kteří se nepřipraví, mohou čelit přísným sankcím.
Mezi klíčové kroky pro přizpůsobení se novým požadavkům patří: implementace firewallů a robustních ochranných systémů; používání šifrování při přenosu a ukládání dat; průběžné monitorování a sledování podezřelého přístupu a aktivity; neustálé testování procesů a systémů za účelem identifikace zranitelností; a vytvoření a udržování přísné politiky informační bezpečnosti.
Wagner zdůrazňuje, že v praxi to znamená, že každá společnost, která zpracovává platby kartou, bude muset přezkoumat celou svou strukturu digitálního zabezpečení. To zahrnuje aktualizaci systémů, posílení interních politik a školení týmů s cílem minimalizovat rizika. „Například společnost elektronického obchodování bude muset zajistit, aby zákaznická data byla šifrována od začátku do konce a aby k citlivým informacím měli přístup pouze autorizovaní uživatelé. Maloobchodní řetězec bude naopak muset zavést mechanismy pro neustálé sledování možných pokusů o podvod a úniků dat,“ vysvětluje.
Banky a fintech společnosti budou také muset posílit své mechanismy ověřování a rozšířit používání technologií, jako je biometrie a vícefaktorové ověřování. „Cílem je zvýšit bezpečnost transakcí, aniž by to ohrozilo zákaznickou zkušenost. To vyžaduje rovnováhu mezi ochranou a použitelností, což je něco, co finanční sektor v posledních letech zlepšuje,“ zdůrazňuje.
Ale proč je tato změna tak důležitá? Bez přehánění lze říci, že digitální podvody se stávají stále sofistikovanějšími. Úniky dat mohou vést k milionovým ztrátám a nenapravitelnému poškození důvěry zákazníků.
Wagner Elias varuje: „Mnoho společností stále zaujímá reaktivní přístup a o bezpečnost se obávají až po útoku. Toto chování je znepokojivé, protože narušení bezpečnosti může vést k významným finančním ztrátám a nenapravitelnému poškození reputace organizace, čemuž by se dalo předejít preventivními opatřeními.“
Dále zdůrazňuje, že pro zamezení těmto rizikům je klíčové zavést postupy zabezpečení aplikací od samého začátku vývoje nové aplikace a zajistit, aby každá fáze cyklu vývoje softwaru již měla ochranná opatření. To zajišťuje, že ochranná opatření jsou implementována ve všech fázích životního cyklu softwaru, což je mnohem nákladově efektivnější než náprava škod po incidentu.
Za zmínku stojí, že se jedná o celosvětově rostoucí trend. Trh s aplikační bezpečností, který byl v roce 2024 oceněn na 11,62 miliardy dolarů, by podle společnosti Mordor Intelligence měl do roku 2029 dosáhnout 25,92 miliardy dolarů.
Wagner vysvětluje, že řešení jako DevOps umožňují vývoj každého řádku kódu s využitím bezpečných postupů, a to navíc ke službám, jako je penetrační testování a zmírňování zranitelností. „Provádění průběžné bezpečnostní analýzy a automatizace testování umožňuje společnostem dodržovat předpisy bez kompromisů v efektivitě,“ zdůrazňuje.
V tomto procesu jsou dále důležité specializované konzultační služby, které pomáhají firmám adaptovat se na nové požadavky normy PCI DSS 4.0. „Mezi nejvyhledávanější služby patří penetrační testování, Red Team a bezpečnostní hodnocení třetích stran, která pomáhají identifikovat a opravit zranitelnosti dříve, než je zneužijí zločinci,“ vysvětluje.
Vzhledem k tomu, že digitální podvody jsou stále sofistikovanější, ignorování zabezpečení dat již není možné. „Společnosti, které investují do preventivních opatření, zajišťují ochranu svých zákazníků a posilují svou pozici na trhu. Implementace nových pokynů je především nezbytným krokem k budování bezpečnějšího a spolehlivějšího platebního prostředí,“ uzavírá.
