In Brasilien, wo Kreditkarten zu den wichtigsten Zahlungsmitteln zählen und digitale Daten einen mit Bargeld vergleichbaren Wert haben, nimmt das Risiko von Online-Betrug immer weiter zu und erfordert von Verbrauchern und Unternehmen besondere Aufmerksamkeit.
Um das 10 brasileiros já foi vítima de golpes e fraudes financeiras no país, o que representa 42 % der Brasilianer. Die Daten stammen aus dem „Digital Identity and Fraud Report 2024“, einer Studie von Serasa Experian.
Eine weitere Studie, durchgeführt von der Nationalen Konföderation der Ladenbesitzer (CNDL) und dem Kredit-Schutzdienst (SPC Brasil) in Zusammenarbeit mit Sebrae, zeigt, dass etwa 8,4 Millionen Verbraucher in den letzten 12 Monaten Betrugsfälle bei Finanzinstituten gemeldet haben. Unter den Betrugsarten ist das Klonen von Kredit- und Debitkarten die häufigste Betrugsform.
Obwohl etwa 70 % der Brasilianer drei oder mehr Karten besitzen, wie Serasa angibt, ist die Risikowahrnehmung noch gering. Etwa 69 % der Brasilianer unterschätzen weiterhin die Gefahr, Finanzdaten auf Websites und in Apps zu registrieren, was einen großen Teil der Bevölkerung digitalen Betrugsversuchen und Cyberangriffen aussetzt.
Mit wachsendem Bewusstsein für digitale Sicherheit entstehen gute Nachrichten: Neue Initiativen und technologische Fortschritte machen die Online-Umgebung jeden Tag sicherer.
Kürzlich hat der PCI Security Standards Council (PCI SSC) neue Richtlinien für die kontinuierliche Entwicklung und Verbesserung der Sicherheitsstandards vorgeschlagen, die für Unternehmen gelten, die Zahlungsdaten speichern, verarbeiten oder übertragen, sowie für Softwareentwickler und Hersteller von Geräten, die bei Transaktionen verwendet werden. Die PCI ist eine globale Organisation, die die wichtigsten Akteure der Zahlungsindustrie zusammenbringt, um die Nutzung von Ressourcen für sichere Transaktionen zu fördern.
„Mit der Weiterentwicklung von Bedrohungen und Technologien entwickeln sich auch die PCI DSS-Standards weiter. Daher ist es notwendig, jetzt auf die neuen Anforderungen zu achten und die notwendigen Anpassungen vorzunehmen“, warnt Wagner Elias, CEO von Conviso, Entwickler von Anwendungssicherheitslösungen.
Zu den Aktualisierungen gehören die des Payment Card Industry Data Security Standard (PCI DSS), der zum Schutz der gesamten Wertschöpfungskette der Kartenzahlungen entwickelt wurde. Ihre Compliance-Anforderungen umfassen alles vom Speichern der Kartendaten der Inhaber bis hin zur Sicherheit beim Zugriff auf sensible Zahlungsinformationen.
„Kurz gesagt: Es ist notwendig, den Schutz der Kundendaten zu verstärken und zusätzliche Maßnahmen zu ergreifen, um unbefugten Zugriff zu verhindern“, sagt der Experte.
Daher müssen Unternehmen sich anpassen und in neue Technologien investieren. Um Beispiel dafür sind einige dieser Lösungen, die in der Lage sind, einen vollständigen Überblick über die mit jeder Anwendung verbundenen Risiken zu geben. „Diese Werkzeuge integrieren verschiedene Systeme, zentralisieren Informationen und unterstützen bei der Priorisierung der Maßnahmen, alles kontinuierlich“, erklärt der CEO von Conviso über seine Plattform Conviso Platform Application Security Posture Management (ASPM), die 2010 eingeführt wurde.
Dennoch hebt der Experte hervor, dass viele Unternehmen noch immer eine reaktive Haltung in Bezug auf die Sicherheit ihrer Systeme einnehmen und das Thema erst nach einem Angriff priorisieren. Dieses Verhalten ist seiner Ansicht nach besorgniserregend, da Sicherheitslücken erhebliche finanzielle Verluste und irreparable Schäden am Ruf der Organisation verursachen können, die durch präventive Maßnahmen vermieden werden könnten.
Für ihn ist es essenziell, dass das Unternehmen bei der Erstellung einer neuen Software die Sicherheit in jeder Phase des Entwicklungszyklus integriert, angefangen bei der Anforderungsanalyse (erste Phase, die festlegt, was die App tun soll) bis hin zum Deployment (Produktion und Endlieferung).
„Der große Unterschied besteht darin, diese Risiken zu vermeiden, indem von Beginn der Entwicklung der neuen Anwendung an Anwendungssicherheitspraktiken übernommen werden. Dadurch wird sichergestellt, dass in allen Phasen des Software-Lebenszyklus Schutzmaßnahmen einbezogen werden. Investitionen in präventive Sicherheit sind nicht nur deutlich kostengünstiger als die Behebung von Schäden nach einem Vorfall, sondern auch viel effektiver. So können wir Angriffe verhindern, sensible Daten schützen, die Einhaltung von Gesetzen und Richtlinien sicherstellen und gewährleisten, dass die Anwendung für die Nutzer von Anfang an sicher und zuverlässig ist“, so der Experte.
Wagner erklärt, dass das Unternehmen Lösungen entwickelt, die Sicherheit in DevOps integrieren, sodass jede Codezeile mit Schutzmaßnahmen entwickelt wird, sowie Dienste wie Penetrationstests und Schwachstellenminderung. „Kontinuierliche Sicherheitsanalysen und Automatisierungstests ermöglichen es Unternehmen, die Vorschriften einzuhalten, ohne die Effizienz zu beeinträchtigen“, hebt Wagner hervor.
Neben der Implementierung robuster Technologien betont der CEO von Conviso die Bedeutung spezialisierter Beratungsunternehmen, die Unternehmen dabei unterstützen, sich an die Anforderungen des PCI DSS 4.0 und anderer Vorschriften anzupassen. Offensive Dienste wie Penetration Testing, Red Team und Drittanbieter-Sicherheitsbewertungen fördern einen proaktiven und umfassenden Sicherheitsansatz, indem sie Schwachstellen identifizieren und beheben, bevor sie ausgenutzt werden können.
Investitionen müssen beschleunigt werden
Diese Transformation im Bereich der digitalen Sicherheit stärkt nicht nur das Vertrauen der Verbraucher in eine sichere Online-Umgebung, sondern begleitet auch das rasante Wachstum des Marktes für Anwendungssicherheit, der laut Mordor Intelligence von 11,62 Milliarden US-Dollar im Jahr 2024 auf 25,92 Milliarden US-Dollar bis 2029 anwachsen soll. „Der Einsatz modernster Technologie markiert eine Wende im digitalen Schutz und stärkt das Vertrauen in einen Markt, der mehr denn je auf Sicherheit angewiesen ist, um zu gedeihen“, schließt Wagner.
Sehen Sie sich die Liste der 12 PCI DSS-Anforderungen an, die die 4.0-Konformitätsprüfung erfüllen muss:
- Installieren und warten Sie eine Firewall
- Standardkonfiguration des Anbieters löschen
- Schützen Sie gespeicherte Karteninhaberdaten
- Verschlüsseln Sie die Übertragung von Zahlungsdaten
- Aktualisieren Sie Ihre Antivirensoftware regelmäßig
- Stellen Sie sichere Systeme und Anwendungen bereit
- Beschränken Sie den Zugriff auf Karteninhaberdaten nach Bedarf
- Benutzerzugriffs-ID zuweisen
- Beschränken Sie den physischen Zugriff auf Daten
- Verfolgen und Überwachen des Netzwerkzugriffs
- Prozesse und Systeme kontinuierlich auf Schwachstellen testen
- Erstellen und verwalten Sie eine Infosec-Richtlinie
Die Implementierung der PCI DSS 4.0-Richtlinien erfolgt in zwei Phasen:
- Die erste Phase mit 13 neuen Anforderungen hatte eine Frist bis zum 31. März 2024.
- Die zweite Phase mit 51 zusätzlichen Anforderungen muss bis zum 31. März 2025 umgesetzt werden.
