Digitaalne turvalisus on saanud uued reeglid ja kaardiandmeid töötlevad ettevõtted peavad kohanema. PCI turvastandardite nõukogu (PCI SSC) loodud maksekaarditööstuse andmeturbestandardi (PCI DSS) versiooni 4.0 tulekuga on muudatused märkimisväärsed ja mõjutavad otseselt kliendiandmete kaitset ning seda, kuidas makseandmeid salvestatakse, töödeldakse ja edastatakse. Aga mis tegelikult muutub?
Peamine muudatus on vajadus veelgi kõrgema digitaalse turvalisuse taseme järele. Ettevõtted peavad investeerima täiustatud tehnoloogiatesse, nagu tugev krüptimine ja mitmefaktoriline autentimine. See meetod nõuab enne süsteemidele, rakendustele või tehingutele juurdepääsu andmist kasutaja identiteedi kinnitamiseks vähemalt kahte verifitseerimistegurit, mis muudab häkkimise raskemaks isegi siis, kui kurjategijad saavad juurdepääsu paroolidele või isikuandmetele.
Kasutatavate autentimistegurite hulgas on:
- Midagi, mida kasutaja teab : paroolid, PIN-koodid või vastused turvaküsimustele.
- Midagi, mis kasutajal on : füüsilised žetoonid, SMS-id kinnituskoodidega, autentimisrakendused (nt Google Authenticator) või digitaalsed sertifikaadid.
- Midagi, mis kasutaja on : digitaalne, näo-, hääle- või iirise tuvastamise biomeetria.
„Need kaitsekihid muudavad volitamata juurdepääsu palju raskemaks ja tagavad tundlike andmete suurema turvalisuse,“ selgitab ta.
„Lühidalt öeldes peame tugevdama klientide andmete kaitset, rakendades täiendavaid meetmeid volitamata juurdepääsu vältimiseks,“ selgitab Wagner Elias, rakenduste turbelahendusi arendava Conviso tegevjuht. „Asi pole enam „vajadusel kohanemises“, vaid ennetavas tegutsemises,“ rõhutab ta.
Uute eeskirjade kohaselt toimub rakendamine kahes etapis: esimese etapi, mis sisaldas 13 uut nõuet, tähtaeg oli märts 2024. Teine, nõudlikum etapp hõlmab 51 täiendavat nõuet ja see tuleb täita 31. märtsiks 2025. Teisisõnu, need, kes ei valmistu ette, võivad saada karmid karistused.
Uute nõuetega kohanemiseks on mõned peamised tegevused järgmised: tulemüüride ja tugevate kaitsesüsteemide rakendamine; krüptimise kasutamine andmeedastuses ja -salvestuses; kahtlase juurdepääsu ja tegevuse pidev jälgimine ja jälitamine; protsesside ja süsteemide pidev testimine haavatavuste tuvastamiseks; ning range infoturbepoliitika loomine ja haldamine.
Wagner rõhutab, et praktikas tähendab see seda, et iga ettevõte, mis tegeleb kaardimaksetega, peab üle vaatama kogu oma digitaalse turvalisuse struktuuri. See hõlmab süsteemide ajakohastamist, sise-eeskirjade tugevdamist ja meeskondade koolitamist riskide minimeerimiseks. „Näiteks peab e-kaubanduse ettevõte tagama, et kliendiandmed on otsast lõpuni krüpteeritud ja et tundlikule teabele on juurdepääs ainult volitatud kasutajatel. Jaemüügikett seevastu peab rakendama mehhanisme võimalike pettusekatsete ja andmete lekete pidevaks jälgimiseks,“ selgitab ta.
Pangad ja finantstehnoloogiaettevõtted peavad samuti tugevdama oma autentimismehhanisme, laiendades selliste tehnoloogiate nagu biomeetria ja mitmefaktoriline autentimine kasutamist. „Eesmärk on muuta tehingud turvalisemaks, ilma et see kahjustaks kliendikogemust. See nõuab tasakaalu kaitse ja kasutatavuse vahel, mida finantssektor on viimastel aastatel parandanud,“ rõhutab ta.
Aga miks on see muutus nii oluline? Pole liialdus öelda, et digitaalne pettus muutub üha keerukamaks. Andmelekked võivad põhjustada miljoneid dollareid kahju ja parandada klientide usalduse kaotust.
Wagner Elias hoiatab: „Paljud ettevõtted kasutavad endiselt reaktiivset lähenemisviisi, muretsedes turvalisuse pärast alles pärast rünnaku toimumist. Selline käitumine on murettekitav, kuna turvarikkumised võivad põhjustada märkimisväärset rahalist kahju ja korvamatut kahju organisatsiooni mainele, mida saaks ennetavate meetmetega vältida.“
Ta rõhutab lisaks, et nende riskide vältimiseks on võtmetähtsusega võtta rakenduse turbepraktikad kasutusele uue rakenduse arenduse algusest peale, tagades, et tarkvaraarendustsükli igal etapil on juba olemas kaitsemeetmed. See tagab kaitsemeetmete rakendamise tarkvara elutsükli kõigis etappides, mis on palju kulutõhusam kui kahjude kõrvaldamine pärast intsidenti.
Tasub märkida, et see on kogu maailmas kasvav trend. Mordor Intelligence'i andmetel peaks rakenduste turvalisuse turg, mille väärtus 2024. aastal oli 11,62 miljardit dollarit, 2029. aastaks ulatuma 25,92 miljardi dollarini.
Wagner selgitab, et sellised lahendused nagu DevOps võimaldavad iga koodirida arendada turvaliste tavadega, lisaks sellistele teenustele nagu penetratsioonitestimine ja haavatavuste leevendamine. „Pideva turvaanalüüsi ja testide automatiseerimise läbiviimine võimaldab ettevõtetel eeskirju järgida ilma tõhusust ohverdamata,“ rõhutab ta.
Lisaks on selles protsessis olulised spetsialiseeritud konsultatsiooniteenused, mis aitavad ettevõtetel kohaneda uute PCI DSS 4.0 nõuetega. „Kõige nõutumate teenuste hulka kuuluvad läbitungimistestid, Red Team ja kolmandate osapoolte turvahinnangud, mis aitavad tuvastada ja parandada haavatavusi enne, kui kurjategijad neid ära kasutada saavad,“ selgitab ta.
Kuna digitaalsed pettused muutuvad üha keerukamaks, ei ole andmeturbe eiramine enam võimalik. „Ettevõtted, kes investeerivad ennetavatesse meetmetesse, tagavad oma klientide kaitse ja tugevdavad oma turupositsiooni. Uute suuniste rakendamine on ennekõike oluline samm turvalisema ja usaldusväärsema maksekeskkonna loomisel,“ võtab ta kokku.
