Η ψηφιακή ασφάλεια μόλις απέκτησε νέους κανόνες και οι εταιρείες που επεξεργάζονται δεδομένα καρτών πρέπει να προσαρμοστούν. Με την άφιξη της έκδοσης 4.0 του Προτύπου Ασφάλειας Δεδομένων του Κλάδου Καρτών Πληρωμών (PCI DSS), που θεσπίστηκε από το Συμβούλιο Προτύπων Ασφαλείας PCI (PCI SSC), οι αλλαγές είναι σημαντικές και επηρεάζουν άμεσα την προστασία των δεδομένων των πελατών και τον τρόπο αποθήκευσης, επεξεργασίας και μετάδοσης των δεδομένων πληρωμών. Αλλά τι αλλάζει πραγματικά;
Η κύρια αλλαγή είναι η ανάγκη για ακόμη υψηλότερο επίπεδο ψηφιακής ασφάλειας. Οι εταιρείες θα πρέπει να επενδύσουν σε προηγμένες τεχνολογίες όπως η ισχυρή κρυπτογράφηση και ο έλεγχος ταυτότητας πολλαπλών παραγόντων. Αυτή η μέθοδος απαιτεί τουλάχιστον δύο παράγοντες επαλήθευσης για την επιβεβαίωση της ταυτότητας ενός χρήστη πριν από την παροχή πρόσβασης σε συστήματα, εφαρμογές ή συναλλαγές, καθιστώντας την πειρατεία πιο δύσκολη, ακόμη και αν οι εγκληματίες αποκτήσουν πρόσβαση σε κωδικούς πρόσβασης ή προσωπικά δεδομένα.
Μεταξύ των παραγόντων ελέγχου ταυτότητας που χρησιμοποιούνται είναι:
- Κάτι που γνωρίζει ο χρήστης : κωδικοί πρόσβασης, PIN ή απαντήσεις σε ερωτήσεις ασφαλείας.
- Κάτι που έχει ο χρήστης : φυσικά διακριτικά, SMS με κωδικούς επαλήθευσης, εφαρμογές ελέγχου ταυτότητας (όπως το Google Authenticator) ή ψηφιακά πιστοποιητικά.
- Κάτι που ο χρήστης είναι : ψηφιακά βιομετρικά στοιχεία, στοιχεία αναγνώρισης προσώπου, φωνής ή ίριδας.
«Αυτά τα επίπεδα προστασίας καθιστούν την μη εξουσιοδοτημένη πρόσβαση πολύ πιο δύσκολη και διασφαλίζουν μεγαλύτερη ασφάλεια για τα ευαίσθητα δεδομένα», εξηγεί.
«Εν ολίγοις, πρέπει να ενισχύσουμε την προστασία των δεδομένων των πελατών εφαρμόζοντας πρόσθετα μέτρα για την αποτροπή μη εξουσιοδοτημένης πρόσβασης», εξηγεί ο Wagner Elias, Διευθύνων Σύμβουλος της Conviso, εταιρείας ανάπτυξης λύσεων ασφάλειας εφαρμογών. «Δεν πρόκειται πλέον για «προσαρμογή όταν είναι απαραίτητο», αλλά για προληπτική δράση», τονίζει.
Σύμφωνα με τους νέους κανόνες, η εφαρμογή πραγματοποιείται σε δύο φάσεις: η πρώτη, με 13 νέες απαιτήσεις, είχε προθεσμία τον Μάρτιο του 2024. Η δεύτερη, πιο απαιτητική φάση, περιλαμβάνει 51 πρόσθετες απαιτήσεις και πρέπει να πληρωθεί έως τις 31 Μαρτίου 2025. Με άλλα λόγια, όσοι δεν προετοιμαστούν ενδέχεται να αντιμετωπίσουν σοβαρές κυρώσεις.
Για την προσαρμογή στις νέες απαιτήσεις, ορισμένες από τις βασικές ενέργειες περιλαμβάνουν: την εφαρμογή τείχους προστασίας και ισχυρών συστημάτων προστασίας· τη χρήση κρυπτογράφησης στη μετάδοση και αποθήκευση δεδομένων· τη συνεχή παρακολούθηση και εντοπισμό ύποπτων προσβάσεων και δραστηριοτήτων· τη συνεχή δοκιμή διαδικασιών και συστημάτων για τον εντοπισμό τρωτών σημείων· και τη δημιουργία και διατήρηση μιας αυστηρής πολιτικής ασφάλειας πληροφοριών.
Ο Wagner τονίζει ότι, στην πράξη, αυτό σημαίνει ότι κάθε εταιρεία που χειρίζεται πληρωμές με κάρτα θα πρέπει να επανεξετάσει ολόκληρη τη δομή ψηφιακής ασφάλειας. Αυτό περιλαμβάνει την ενημέρωση των συστημάτων, την ενίσχυση των εσωτερικών πολιτικών και την εκπαίδευση των ομάδων για την ελαχιστοποίηση των κινδύνων. «Για παράδειγμα, μια εταιρεία ηλεκτρονικού εμπορίου θα πρέπει να διασφαλίσει ότι τα δεδομένα των πελατών είναι κρυπτογραφημένα από άκρο σε άκρο και ότι μόνο εξουσιοδοτημένοι χρήστες έχουν πρόσβαση σε ευαίσθητες πληροφορίες. Μια αλυσίδα λιανικής, από την άλλη πλευρά, θα πρέπει να εφαρμόσει μηχανισμούς για τη συνεχή παρακολούθηση πιθανών απόπειρων απάτης και διαρροών δεδομένων», εξηγεί.
Οι τράπεζες και οι εταιρείες fintech θα πρέπει επίσης να ενισχύσουν τους μηχανισμούς ελέγχου ταυτότητας, επεκτείνοντας τη χρήση τεχνολογιών όπως η βιομετρία και η πολυπαραγοντική επαλήθευση ταυτότητας. «Ο στόχος είναι να γίνουν οι συναλλαγές πιο ασφαλείς χωρίς να διακυβεύεται η εμπειρία του πελάτη. Αυτό απαιτεί μια ισορροπία μεταξύ προστασίας και χρηστικότητας, κάτι που ο χρηματοπιστωτικός τομέας έχει βελτιώσει τα τελευταία χρόνια», τονίζει.
Αλλά γιατί είναι τόσο σημαντική αυτή η αλλαγή; Δεν είναι υπερβολή να πούμε ότι η ψηφιακή απάτη γίνεται ολοένα και πιο εξελιγμένη. Οι παραβιάσεις δεδομένων μπορούν να οδηγήσουν σε απώλειες εκατομμυρίων δολαρίων και σε ανεπανόρθωτη ζημιά στην εμπιστοσύνη των πελατών.
Ο Wagner Elias προειδοποιεί: «Πολλές εταιρείες εξακολουθούν να υιοθετούν μια αντιδραστική προσέγγιση, ανησυχώντας για την ασφάλεια μόνο μετά την πραγματοποίηση μιας επίθεσης. Αυτή η συμπεριφορά είναι ανησυχητική, καθώς οι παραβιάσεις της ασφάλειας μπορούν να οδηγήσουν σε σημαντικές οικονομικές απώλειες και ανεπανόρθωτη ζημιά στη φήμη του οργανισμού, κάτι που θα μπορούσε να αποφευχθεί με προληπτικά μέτρα».
Τονίζει περαιτέρω ότι για την αποφυγή αυτών των κινδύνων, το κλειδί είναι η υιοθέτηση πρακτικών Ασφάλειας Εφαρμογών από την αρχή της ανάπτυξης της νέας εφαρμογής, διασφαλίζοντας ότι κάθε φάση του κύκλου ανάπτυξης λογισμικού διαθέτει ήδη προστατευτικά μέτρα. Αυτό διασφαλίζει ότι τα προστατευτικά μέτρα εφαρμόζονται σε όλα τα στάδια του κύκλου ζωής του λογισμικού, κάτι που είναι πολύ πιο οικονομικό από την αποκατάσταση ζημιών μετά από ένα συμβάν.
Αξίζει να σημειωθεί ότι πρόκειται για μια αυξανόμενη τάση παγκοσμίως. Η αγορά ασφάλειας εφαρμογών, η οποία αποτιμήθηκε στα 11,62 δισεκατομμύρια δολάρια το 2024, αναμένεται να φτάσει τα 25,92 δισεκατομμύρια δολάρια έως το 2029, σύμφωνα με την Mordor Intelligence.
Ο Wagner εξηγεί ότι λύσεις όπως το DevOps επιτρέπουν την ανάπτυξη κάθε γραμμής κώδικα με ασφαλείς πρακτικές, εκτός από υπηρεσίες όπως οι δοκιμές διείσδυσης και ο μετριασμός τρωτών σημείων. «Η διεξαγωγή συνεχούς ανάλυσης ασφάλειας και αυτοματοποίησης δοκιμών επιτρέπει στις εταιρείες να συμμορφώνονται με τους κανονισμούς χωρίς να διακυβεύεται η αποτελεσματικότητα», τονίζει.
Επιπλέον, οι εξειδικευμένες συμβουλευτικές υπηρεσίες είναι σημαντικές σε αυτή τη διαδικασία, βοηθώντας τις εταιρείες να προσαρμοστούν στις νέες απαιτήσεις του PCI DSS 4.0. «Μεταξύ των πιο περιζήτητων υπηρεσιών είναι οι Penetration Testing, Red Team και οι αξιολογήσεις ασφαλείας από τρίτους, οι οποίες βοηθούν στον εντοπισμό και τη διόρθωση τρωτών σημείων πριν αυτά γίνουν αντικείμενο εκμετάλλευσης από εγκληματίες», εξηγεί.
Καθώς η ψηφιακή απάτη γίνεται ολοένα και πιο εξελιγμένη, η αγνόηση της ασφάλειας των δεδομένων δεν αποτελεί πλέον επιλογή. «Οι εταιρείες που επενδύουν σε προληπτικά μέτρα διασφαλίζουν την προστασία των πελατών τους και ενισχύουν τη θέση τους στην αγορά. Η εφαρμογή των νέων κατευθυντήριων γραμμών είναι, πάνω απ' όλα, ένα ουσιαστικό βήμα προς την οικοδόμηση ενός ασφαλέστερου και πιο αξιόπιστου περιβάλλοντος πληρωμών», καταλήγει.
