Digitaalinen turvallisuus on juuri saanut uusia sääntöjä, ja korttitietoja käsittelevien yritysten on sopeuduttava niihin. PCI Security Standards Councilin (PCI SSC) laatiman Payment Card Industry Data Security Standard (PCI DSS) -standardin version 4.0 myötä muutokset ovat merkittäviä ja vaikuttavat suoraan asiakastietojen suojaan sekä maksutietojen tallentamiseen, käsittelyyn ja lähettämiseen. Mutta mikä todella muuttuu?
Keskeinen muutos on tarve entistä korkeammalle digitaalisen turvallisuuden tasolle. Yritysten on investoitava edistyneisiin teknologioihin, kuten vankkaan salaukseen ja monivaiheiseen todennukseen. Tämä menetelmä vaatii vähintään kaksi vahvistustekijää käyttäjän henkilöllisyyden vahvistamiseksi ennen järjestelmien, sovellusten tai tapahtumien käyttöoikeuden myöntämistä, mikä vaikeuttaa hakkerointia, vaikka rikolliset saisivatkin haltuunsa salasanoja tai henkilötietoja.
Käytettyjen todennustekijöiden joukossa ovat:
- Jotain, minkä käyttäjä tietää : salasanat, PIN-koodit tai vastaukset turvakysymyksiin.
- Käyttäjällä oleva asia : fyysiset tunnukset, vahvistuskoodeja sisältävät tekstiviestit, todennussovellukset (kuten Google Authenticator) tai digitaaliset varmenteet.
- Käyttäjän omaavaa tietoa : digitaalista, kasvojen, äänen tai iiriksen tunnistukseen perustuvaa biometriaa.
”Nämä suojauskerrokset vaikeuttavat luvatonta pääsyä huomattavasti ja varmistavat arkaluonteisten tietojen paremman turvallisuuden”, hän selittää.
”Lyhyesti sanottuna meidän on vahvistettava asiakastietojen suojaa ottamalla käyttöön lisätoimenpiteitä luvattoman pääsyn estämiseksi”, selittää Wagner Elias, sovellustietoturvaratkaisuja kehittävän Convison toimitusjohtaja. ”Kyse ei ole enää ’tarvittaessa sopeutumisesta’, vaan ennaltaehkäisevästä toiminnasta”, hän korostaa.
Uusien sääntöjen mukaan täytäntöönpano tapahtuu kahdessa vaiheessa: ensimmäisen, 13 uutta vaatimusta sisältävän, määräaika oli maaliskuu 2024. Toinen, vaativampi vaihe sisältää 51 lisävaatimusta, ja ne on täytettävä 31. maaliskuuta 2025 mennessä. Toisin sanoen ne, jotka eivät valmistaudu, voivat joutua ankariin seuraamuksiin.
Uusiin vaatimuksiin sopeutumiseksi keskeisiä toimia ovat muun muassa: palomuurien ja vankkojen suojausjärjestelmien käyttöönotto; salauksen käyttö tiedonsiirrossa ja -tallennuksessa; epäilyttävän käytön ja toiminnan jatkuva valvonta ja jäljittäminen; prosessien ja järjestelmien jatkuva testaus haavoittuvuuksien tunnistamiseksi; sekä tiukan tietoturvapolitiikan luominen ja ylläpitäminen.
Wagner korostaa, että käytännössä tämä tarkoittaa sitä, että jokaisen korttimaksuja käsittelevän yrityksen on tarkistettava koko digitaalisen tietoturvansa rakenne. Tämä edellyttää järjestelmien päivittämistä, sisäisten käytäntöjen vahvistamista ja tiimien kouluttamista riskien minimoimiseksi. "Esimerkiksi verkkokauppayrityksen on varmistettava, että asiakastiedot ovat päästä päähän -salattuja ja että vain valtuutetuilla käyttäjillä on pääsy arkaluonteisiin tietoihin. Toisaalta vähittäiskauppaketjun on otettava käyttöön mekanismeja mahdollisten petosyritysten ja tietovuotojen jatkuvaan valvontaan", hän selittää.
Pankkien ja fintech-yritysten on myös vahvistettava todennusmekanismejaan laajentamalla sellaisten teknologioiden kuin biometrian ja monivaiheisen todennuksen käyttöä. "Tavoitteena on tehdä maksutapahtumista turvallisempia vaarantamatta asiakaskokemusta. Tämä edellyttää tasapainoa suojauksen ja käytettävyyden välillä, mitä finanssiala on parantanut viime vuosina", hän korostaa.
Mutta miksi tämä muutos on niin tärkeä? Ei ole liioiteltua sanoa, että digitaaliset petokset ovat yhä kehittyneempiä. Tietomurrot voivat aiheuttaa miljoonien dollarien tappioita ja korjaamatonta vahinkoa asiakkaiden luottamukselle.
Wagner Elias varoittaa: "Monet yritykset omaksuvat edelleen reaktiivisen lähestymistavan ja murehtivat turvallisuudesta vasta hyökkäyksen jälkeen. Tämä toiminta on huolestuttavaa, sillä tietoturvaloukkaukset voivat johtaa merkittäviin taloudellisiin menetyksiin ja korjaamattomaan vahinkoon organisaation maineelle, jotka voitaisiin välttää ennaltaehkäisevillä toimenpiteillä."
Hän korostaa edelleen, että näiden riskien välttämiseksi avainasemassa on sovellustietoturvakäytäntöjen omaksuminen uuden sovelluksen kehityksen alusta lähtien varmistaen, että jokaisessa ohjelmistokehityssyklin vaiheessa on jo olemassa suojaustoimenpiteitä. Tämä varmistaa, että suojaustoimenpiteitä toteutetaan ohjelmiston elinkaaren kaikissa vaiheissa, mikä on paljon kustannustehokkaampaa kuin vahinkojen korjaaminen tapahtuman jälkeen.
On syytä huomata, että tämä on kasvava trendi maailmanlaajuisesti. Sovellustietoturvamarkkinoiden, joiden arvo vuonna 2024 oli 11,62 miljardia dollaria, odotetaan saavuttavan 25,92 miljardia dollaria vuoteen 2029 mennessä Mordor Intelligencen mukaan.
Wagner selittää, että DevOpsin kaltaiset ratkaisut mahdollistavat jokaisen koodirivin kehittämisen turvallisilla käytännöillä, ja lisäksi tarjolla on palveluita, kuten penetraatiotestaus ja haavoittuvuuksien lieventäminen. "Jatkuvan tietoturva-analyysin ja testiautomaation avulla yritykset voivat noudattaa määräyksiä tehokkuudesta tinkimättä", hän korostaa.
Lisäksi erikoistuneet konsultointipalvelut ovat tärkeitä tässä prosessissa, sillä ne auttavat yrityksiä sopeutumaan uusiin PCI DSS 4.0 -vaatimuksiin. "Halutuimpia palveluita ovat penetraatiotestaus, Red Team ja kolmannen osapuolen tietoturva-arvioinnit, jotka auttavat tunnistamaan ja korjaamaan haavoittuvuuksia ennen kuin rikolliset voivat hyödyntää niitä", hän selittää.
Digitaalisten petosten kehittyessä yhä monimutkaisemmiksi tietoturvan laiminlyönti ei ole enää vaihtoehto. "Yritykset, jotka investoivat ennaltaehkäiseviin toimenpiteisiin, varmistavat asiakkaidensa suojan ja vahvistavat markkina-asemaansa. Uusien ohjeiden käyttöönotto on ennen kaikkea olennainen askel kohti turvallisemman ja luotettavamman maksuympäristön rakentamista", hän päättelee.
