Digital sikkerhed har netop fået nye regler, og virksomheder, der behandler kortdata, er nødt til at tilpasse sig. Med ankomsten af version 4.0 af Payment Card Industry Data Security Standard (PCI DSS), der er fastsat af PCI Security Standards Council (PCI SSC), er ændringerne betydelige og har direkte indflydelse på beskyttelsen af kundedata og hvordan betalingsdata opbevares, behandles og transmitteres. Men hvad ændrer sig egentlig?
Den primære ændring er behovet for et endnu højere niveau af digital sikkerhed. Virksomheder bliver nødt til at investere i avancerede teknologier såsom robust kryptering og multifaktorgodkendelse. Denne metode kræver mindst to verifikationsfaktorer for at bekræfte en brugers identitet, før der gives adgang til systemer, applikationer eller transaktioner, hvilket gør hacking vanskeligere, selvom kriminelle får adgang til adgangskoder eller personlige data.
Blandt de anvendte autentificeringsfaktorer er:
- Noget brugeren kender : adgangskoder, pinkoder eller svar på sikkerhedsspørgsmål.
- Noget brugeren har : fysiske tokens, SMS med bekræftelseskoder, godkendelsesapps (som Google Authenticator) eller digitale certifikater.
- Noget brugeren er : digital, ansigts-, stemme- eller irisgenkendelsesbiometri.
"Disse beskyttelseslag gør uautoriseret adgang meget vanskeligere og sikrer større sikkerhed for følsomme data," forklarer han.
"Kort sagt, vi er nødt til at styrke beskyttelsen af kundedata ved at implementere yderligere foranstaltninger for at forhindre uautoriseret adgang," forklarer Wagner Elias, administrerende direktør for Conviso, en udvikler af applikationssikkerhedsløsninger. "Det handler ikke længere om at 'tilpasse sig når det er nødvendigt', men om at handle forebyggende," understreger han.
Under de nye regler sker implementeringen i to faser: den første, med 13 nye krav, havde en deadline i marts 2024. Den anden, mere krævende fase, omfatter 51 yderligere krav og skal være opfyldt senest den 31. marts 2025. Med andre ord kan de, der ikke forbereder sig, blive udsat for alvorlige sanktioner.
For at tilpasse sig de nye krav omfatter nogle af de vigtigste handlinger: implementering af firewalls og robuste beskyttelsessystemer; brug af kryptering i dataoverførsel og -lagring; løbende overvågning og sporing af mistænkelig adgang og aktivitet; konstant test af processer og systemer for at identificere sårbarheder; og oprettelse og vedligeholdelse af en streng informationssikkerhedspolitik.
Wagner understreger, at det i praksis betyder, at enhver virksomhed, der håndterer kortbetalinger, skal gennemgå hele sin digitale sikkerhedsstruktur. Dette involverer opdatering af systemer, styrkelse af interne politikker og træning af teams for at minimere risici. "For eksempel skal en e-handelsvirksomhed sikre, at kundedata er end-to-end-krypteret, og at kun autoriserede brugere har adgang til følsomme oplysninger. En detailkæde skal derimod implementere mekanismer til løbende at overvåge mulige svindelforsøg og datalækager," forklarer han.
Banker og fintech-virksomheder bliver også nødt til at styrke deres autentificeringsmekanismer og udvide brugen af teknologier som biometri og multifaktor-autentificering. "Målet er at gøre transaktioner mere sikre uden at gå på kompromis med kundeoplevelsen. Dette kræver en balance mellem beskyttelse og brugervenlighed, noget som finanssektoren har forbedret i de senere år," understreger han.
Men hvorfor er denne ændring så vigtig? Det er ingen overdrivelse at sige, at digital svindel bliver mere og mere sofistikeret. Databrud kan resultere i tab på millioner af dollars og uoprettelig skade på kundernes tillid.
Wagner Elias advarer: "Mange virksomheder har stadig en reaktiv tilgang og bekymrer sig kun om sikkerheden efter et angreb. Denne adfærd er bekymrende, da sikkerhedsbrud kan føre til betydelige økonomiske tab og uoprettelig skade på organisationens omdømme, hvilket kunne undgås med forebyggende foranstaltninger."
Han understreger yderligere, at for at undgå disse risici er nøglen at implementere applikationssikkerhedspraksis fra begyndelsen af den nye applikations udvikling og sikre, at hver fase af softwareudviklingscyklussen allerede har beskyttelsesforanstaltninger. Dette sikrer, at beskyttelsesforanstaltninger implementeres i alle faser af softwarens livscyklus, hvilket er langt mere omkostningseffektivt end at afhjælpe skader efter en hændelse.
Det er værd at bemærke, at dette er en voksende tendens på verdensplan. Markedet for applikationssikkerhed, som blev vurderet til 11,62 milliarder dollars i 2024, forventes at nå 25,92 milliarder dollars i 2029 ifølge Mordor Intelligence.
Wagner forklarer, at løsninger som DevOps gør det muligt at udvikle hver eneste kodelinje med sikre praksisser, udover tjenester som penetrationstest og sårbarhedsreduktion. "Kontinuerlig sikkerhedsanalyse og testautomatisering giver virksomheder mulighed for at overholde regler uden at gå på kompromis med effektiviteten," understreger han.
Derudover er specialiserede konsulenttjenester vigtige i denne proces, da de hjælper virksomheder med at tilpasse sig de nye PCI DSS 4.0-krav. "Blandt de mest efterspurgte tjenester er penetrationstestning, Red Team og tredjeparts sikkerhedsvurderinger, som hjælper med at identificere og rette sårbarheder, før de kan udnyttes af kriminelle," forklarer han.
I takt med at digital svindel bliver mere og mere sofistikeret, er det ikke længere en mulighed at ignorere datasikkerhed. "Virksomheder, der investerer i forebyggende foranstaltninger, sikrer beskyttelsen af deres kunder og styrker deres markedsposition. Implementeringen af de nye retningslinjer er frem for alt et vigtigt skridt i retning af at opbygge et sikrere og mere pålideligt betalingsmiljø," konkluderer han.
