Segurtasun digitalak arau berriak lortu berri ditu, eta txartelen datuak prozesatzen dituzten enpresek egokitu egin behar dute. PCI Segurtasun Arauen Kontseiluak (PCI SSC) ezarritako Ordainketa Txartelen Industriako Datuen Segurtasun Arauaren (PCI DSS) 4.0 bertsioarekin, aldaketak nabarmenak dira eta zuzenean eragiten diete bezeroen datuen babesari eta ordainketa-datuak nola gordetzen, prozesatzen eta transmititzen diren. Baina zer aldatzen da benetan?
Aldaketa nagusia segurtasun digital maila are altuago baten beharra da. Enpresek teknologia aurreratuetan inbertitu beharko dute, hala nola enkriptazio sendoan eta faktore anitzeko autentifikazioan. Metodo honek gutxienez bi egiaztapen faktore behar ditu erabiltzaile baten identitatea berresteko sistemetara, aplikazioetara edo transakzioetara sarbidea eman aurretik, eta horrek zaildu egiten du hackeoa, gaizkileek pasahitzetara edo datu pertsonaletara sarbidea lortu arren.
Erabilitako autentifikazio faktoreen artean hauek daude:
- Erabiltzaileak dakien zerbait : pasahitzak, PINak edo segurtasun-galderen erantzunak.
- Erabiltzaileak duen zerbait : token fisikoak, egiaztapen-kodeak dituzten SMSak, autentifikazio-aplikazioak (Google Authenticator bezalakoak) edo ziurtagiri digitalak.
- Erabiltzailea den zerbait : biometria digitala, aurpegikoa, ahotsa edo irisaren ezagutza.
«Babes geruza hauek askoz zailagoa egiten dute baimenik gabeko sarbidea eta datu sentikorren segurtasun handiagoa bermatzen dute», azaldu du.
«Laburbilduz, bezeroen datuen babesa indartu behar dugu baimenik gabeko sarbidea saihesteko neurri gehigarriak ezarriz», azaldu du Wagner Eliasek, aplikazioen segurtasun-irtenbideen garatzaile den Convisoko zuzendari nagusiak. «Ez da jada 'beharrezkoa denean egokitzea', baizik eta prebentzioz jokatzea», azpimarratzen du.
Arau berrien arabera, ezarpena bi fasetan gertatzen da: lehenengoak, 13 baldintza berrirekin, 2024ko martxoa zuen epea. Bigarren faseak, zorrotzagoak, 51 baldintza gehigarri ditu eta 2025eko martxoaren 31rako bete behar da. Beste era batera esanda, prestatzen ez direnek zigor larriak jasan ditzakete.
Eskakizun berrietara egokitzeko, ekintza nagusietako batzuk hauek dira: suebakiak eta babes-sistema sendoak ezartzea; datuen transmisioan eta biltegiratzean enkriptatzea erabiltzea; sarbide eta jarduera susmagarriak etengabe kontrolatzea eta jarraitzea; prozesuak eta sistemak etengabe probatzea ahultasunak identifikatzeko; eta informazioaren segurtasun-politika zorrotza sortzea eta mantentzea.
Wagnerrek azpimarratzen du, praktikan, horrek esan nahi duela txartelarekin ordaintzen duen edozein enpresak bere segurtasun digitalaren egitura osoa berrikusi beharko duela. Horrek sistemak eguneratzea, barne politikak indartzea eta taldeak prestatzea dakar arriskuak minimizatzeko. "Adibidez, merkataritza elektronikoko enpresa batek ziurtatu beharko du bezeroen datuak muturretik muturrera enkriptatuta daudela eta baimendutako erabiltzaileek bakarrik dutela informazio sentikorrerako sarbidea. Txikizkako kate batek, berriz, iruzur saiakerak eta datu ihesak etengabe kontrolatzeko mekanismoak ezarri beharko ditu", azaldu du.
Bankuek eta finantza-teknologiek ere beren autentifikazio-mekanismoak indartu beharko dituzte, biometria eta faktore anitzeko autentifikazioa bezalako teknologien erabilera zabalduz. "Helburua transakzioak seguruagoak egitea da, bezeroaren esperientzia arriskuan jarri gabe. Horrek babesaren eta erabilgarritasunaren arteko oreka eskatzen du, eta finantza-sektoreak azken urteotan hobetzen ari den zerbait da", azpimarratzen du.
Baina zergatik da aldaketa hau hain garrantzitsua? Ez da gehiegikeria esatea iruzur digitala gero eta sofistikatuagoa bihurtzen ari dela. Datuen urraketek milioika dolarreko galerak eta kalte konponezinak eragin ditzakete bezeroen konfiantzan.
Wagner Eliasek ohartarazi du: "Enpresa askok oraindik ere erreakziozko ikuspegia hartzen dute, eraso bat gertatu ondoren bakarrik kezkatzen dira segurtasunaz. Jokabide hau kezkagarria da, segurtasun-hausteek finantza-galera handiak eta erakundearen ospeari kalte konponezinak ekar ditzaketelako, eta horiek saihestu litezke neurri prebentiboekin".
Gainera, azpimarratzen du arrisku horiek saihesteko gakoa dela Aplikazioen Segurtasun praktikak aplikazio berriaren garapenaren hasieratik hartzea, softwarearen garapen zikloaren fase bakoitzak babes neurriak dituela ziurtatuz. Horrek bermatzen du babes neurriak softwarearen bizi-zikloaren etapa guztietan ezartzen direla, eta hori askoz ere kostu-eraginkorragoa da gertakari baten ondoren kalteak konpontzea baino.
Aipatzekoa da joera gero eta handiagoa dela mundu osoan. Aplikazioen segurtasun merkatua, 2024an 11.620 milioi dolarreko balioa zuena, 25.920 milioi dolarretara iritsiko dela espero da 2029rako, Mordor Intelligence-ren arabera.
Wagnerrek azaltzen du DevOps bezalako irtenbideek kode-lerro bakoitza praktika seguruekin garatzea ahalbidetzen dutela, penetrazio-probak eta ahultasunen arintzea bezalako zerbitzuez gain. "Segurtasun-analisi jarraitua eta proben automatizazioa egiteak enpresei araudia betetzea ahalbidetzen die eraginkortasuna arriskuan jarri gabe", azpimarratzen du.
Gainera, aholkularitza zerbitzu espezializatuak garrantzitsuak dira prozesu honetan, enpresei PCI DSS 4.0 eskakizun berrietara egokitzen laguntzeko. "Zerbitzu eskatuenen artean daude Penetration Testing, Red Team eta hirugarrenen segurtasun ebaluazioak, ahultasunak identifikatzen eta zuzentzen laguntzen dutenak delitugileek ustia ditzaketen aurretik", azaldu du.
Iruzur digitala gero eta sofistikatuagoa denez, datuen segurtasuna alde batera uztea ez da jada aukera bat. "Prebentzio neurrietan inbertitzen duten enpresek bezeroen babesa bermatzen dute eta merkatuan duten posizioa indartzen dute. Jarraibide berriak ezartzea, batez ere, ordainketa-ingurune seguruagoa eta fidagarriagoa eraikitzeko urrats ezinbestekoa da", ondorioztatzen du.
