PCI koventaa sääntöjä ja sähköinen kaupankäynti vaatii korkeampaa turvallisuustasoa

Digitaalinen tietoturvallisuus on saanut uusia sääntöjä, ja yritysten, jotka käsittelevät luottokorttitietoja, on mukautuva. Uuden Payment Card Industry Data Security Standard (PCI DSS) -version 4.0:n myötä, jonka PCI Security Standards Council (PCI SSC) on julkaissut, muutokset ovat merkittäviä ja vaikuttavat suoraan asiakkaiden tietojen suojaan sekä siihen, miten maksutietoja tallennetaan, käsitellään ja siirretään. Mutta mikä oikeasti muuttuu?

Suurin muutos on tarve entistä korkeamman digitaalisen turvallisuuden tasolle. Yritysten täytyy investoida edistyneisiin teknologioihin, kuten vahvaan salaukseen ja monivaiheiseen todentamiseen. Tämä menetelmä vaatii vähintään kahta todennusvaihetta käyttäjän identiteetin vahvistamiseksi ennen järjestelmien, sovellusten tai transaktioihin antamista pääsystä, vaikeuttaen hakkerointeja, vaikka rikollisilla olisi pääsy salasanoihin tai henkilökohtaisiin tietoihin.

Tunnistustekijöitä, joita käytetään, ovat:

• Jotain, mitä käyttäjä tietääSalasanat, PIN-koodit tai turvallisuuskyselyjen vastaukset.
• Jotain, mitä käyttäjä omistaaFyysiset tokenit, SMS-viestit vahvistuskoodeilla, todennusoppimissovellukset (kuten Google Authenticator) tai digitaaliset varmennusasiakirjat.
• Jotain, mitä käyttäjä on.Digitaalinen biometria, kasvojen tunnistus, puheen tunnistus tai silmäniris.

"Nämä suojauskerrat vaikeuttavat huomattavasti luvatonta pääsyä ja takaavat paremman turvallisuuden herkille tiedoille", hän selittää.

Lyhyesti sanottuna, on tärkeää vahvistaa asiakkaiden tietojen suojaa toteuttamalla lisätoimenpiteitä estämään luvattomia pääsyjä”, selittää Wagner Elias, Convison, sovellussuojauksen kehittäjäyrityksen, toimitusjohtaja. ”Ei ole enää kyse siitä, että 'sopeudumme, kun on tarpeen', vaan ennakoivasta toiminnasta”, hän korostaa.

Uuden säännöstön mukaisesti toteutus tapahtuu kahdessa vaiheessa: ensimmäinen, jossa on 13 uutta vaatimusta, päättyi maaliskuussa 2024. Toinen, vaativampi vaihe, sisältää 51 lisävaatimusta ja sen on täytyttävä 31. maaliskuuta 2025 mennessä. Eli valmistautumatta jääneet voivat kohdata vakavia seuraamuksia.

Jotta mukautua uusiin vaatimuksiin, joitakin tärkeimpiä toimia ovat: toteuttaa Palomuuri jaat ja vahvat suojausjärjestelmät; käyttää salausmenetelmiä tietojen lähetyksessä ja tallennuksessa; seurata ja jäljittää jatkuvasti epäilyttäviä käyttöjä ja toimintoja; testata prosesseja ja järjestelmiä jatkuvasti haavoittuvuuksien tunnistamiseksi; luoda ja ylläpitää tiukka tietoturvallisuuspolitiikka.

Wagner korostaa, että käytännössä tämä tarkoittaa, että kaikkien yritysten, jotka käsittelevät maksuja luottokorteilla, on tarkistettava koko digitaalinen turvallisuusrakenteensa. Tämä sisältää järjestelmien päivittämisen, sisäisten käytäntöjen vahvistamisen ja tiimien koulutuksen riskien minimoimiseksi. "Esimerkiksi verkkokaupan on varmistettava, että asiakkaiden tiedot ovat salattuja päästä päähän ja että vain valtuutetuilla käyttäjillä on pääsy arkaluontoisiin tietoihin. Toisaalta vähittäiskaupan on toteutettava mekanismeja jatkuvan petostenttiilien ja tietovuodojen seurantaan", hän havainnollistaa.

Pankit ja fintechit tarvitsevat myös vahvistaa todennusjärjestelmiään lisäämällä biometriaa ja monitasoista todennusta. ”Tavoitteena on tehdä tapahtumista turvallisempia tinkimättä asiakaskokemuksesta. Tämä vaatii tasapainoa suojauksen ja käytettävyyden välillä, ja sitä finanssisektori on jo viime vuosina kehittänyt”, korostaa.

Mutta miksi tämä muutos on niin tärkeää? Ei ole liioittelua sanoa, että digitaaliset huijaukset kehittyvät yhä monimutkaisemmiksi. Tietovuodot voivat johtaa miljoonien eurojen tappioihin ja korjaamattomien vahinkojen aiheuttamiseen asiakkaiden luottamukseen. 

Wagner Elias varoittaa: "Monet monet yritykset toimivat edelleen reaktiona, ja niiden huoli tietoturvallisuudesta herää vasta hyökkäyksen jälkeen. Tämä asenne on huolestuttava, sillä tietoturvavirheet voivat aiheuttaa merkittäviä taloudellisia tappioita ja korjaamattomia mainevahinkoja organisaatiolle, joita voidaan välttää ennaltaehkäisevin toimenpitein."

Hän korostaa edelleen, että näiden riskien välttämiseksi avainero on ottaa käyttöön Application Security (Sovellustietoturva) -käytänteet heti uuden sovelluksen kehityksen alkuvaiheessa ja varmistaa, että jokainen ohjelmistokehityksen vaihe sisältää suojaustoimia. Tämä varmistaa suojaustoimien integroinnin ohjelmistokehityksen elinkaaren kaikkiin vaiheisiin, mikä on huomattavasti taloudellisempaa kuin vahinkojen korjaaminen onnettomuuden jälkeen."

Muistutetaan, että tämä on maailmanlaajuinen kasvava trendi. Sovellusjärjestelmien turvallisuusmarkkinoiden, jotka liiketoiminnan tuottojen mukaan olivat 11,62 miljardia dollaria vuonna 2024, odotetaan kasvavan 25,92 miljardiin dollariin mennessä 2029, Mordor Intelligence mukaan.

Wagner selittää, että DevOps-kaltaiset ratkaisut mahdollistavat jokaisen koodirivin kehittämisen turvallisuuskäytäntöjen mukaisesti, sekä sisältävät palveluita kuten tunkeutumistestit ja haavoittuvuuksien lieventäminen. Hän korostaa, että jatkuvat turvallisuusanalyysit ja testausten automaatio auttavat yrityksiä noudattamaan standardeja ilman tehokkuuden uhraamista.

Lisäksi erikoistuneet konsultointiyritykset ovat tärkeitä tässä prosessissa auttaen yrityksiä mukautumaan PCI DSS 4.0:n uusiin vaatimuksiin. "Kutsutaan palveluja, joita haetaan eniten, ovat Penetration Testing, Red Team ja kolmannen osapuolen tietoturvatarkastukset, jotka auttavat tunnistamaan ja korjaamaan haavoittuvuuksia ennen kuin rikolliset voivat niitä hyödyntää", hän kertoo.

Yhä kehittyneemmät digitaaliset petokset huomioon ottaen tietoturvan laiminlyöminen ei ole enää vaihtoehto. "Yritykset, jotka panostavat ennaltaehkäiseviin toimiin, takaavat asiakkaidensa suojan ja vahvistavat asemaansa markkinoilla. Uusista ohjeista toteuttaminen on ennen kaikkea olennainen askel turvallisemman ja luotettavamman maksuympäristön rakentamisessa", hän päättää.