Digitaalinen turvallisuus on juuri saanut uusia sääntöjä, ja korttitietoja käsittelevien yritysten on sopeuduttava. Kun PCI Security Standards Councilin (PCI SSC) vahvistama Payment Card Industry Data Security Standard (PCI DSS) versio 4.0 julkaistaan, muutokset ovat merkittäviä ja vaikuttavat suoraan asiakkaiden tietojen suojaamiseen sekä maksutietojen tallentamiseen, käsittelyyn ja siirtämiseen. Mutta lopulta, mitä oikeastaan muuttuu?
Pääasiallinen muutos on tarve vielä korkeammalle digitaaliselle turvallisuustasolle. Yritysten on investoitava kehittyneisiin teknologioihin, kuten vahvaan salaukseen ja monivaiheiseen todennukseen. Tämä menetelmä vaatii vähintään kaksi vahvistustekijää käyttäjän henkilöllisyyden vahvistamiseksi ennen pääsyn myöntämistä järjestelmiin, sovelluksiin tai transaktioihin, mikä vaikeuttaa hakkereiden pääsyä, vaikka rikolliset saisivat salasanoja tai henkilötietoja.
Käytettävien todennusmenetelmien joukossa ovat:
- Jotain, jonka käyttäjä tietääsalasanat, PIN-koodit tai turvallisuuskysymysten vastaukset
- Jokin, joka käyttäjällä onFyysiset tunnisteet, vahvistuskoodit tekstiviestissä, tunnistusohjelmat (kuten Google Authenticator) tai digitaaliset sertifikaatit.
- Jokin, joka käyttäjä ondigitaalinen biometria, kasvojen tunnistus, äänentunnistus tai iiris.
"Nämä suojaavat kerrokset tekevät luvattomasta pääsystä paljon vaikeampaa ja varmistavat suuremman turvallisuuden herkille tiedoille", hän selittää.
Yhteenvetona on vahvistettava asiakkaiden tietojen suojaa toteuttamalla lisätoimenpiteitä luvattoman pääsyn estämiseksi, selittää Wagner Elias, Conviso:n toimitusjohtaja, sovellusturvaratkaisujen kehittäjä. Se ei ole enää kysymys "sopeutumisesta tarvittaessa", vaan ennaltaehkäisevästä toiminnasta, hän korostaa.
Uusien sääntöjen mukaan toteutus tapahtuu kahdessa vaiheessa: ensimmäinen, johon sisältyi 13 uutta vaatimusta, oli määrä saada valmiiksi maaliskuuhun 2024 mennessä. Toinen vaihe, joka on vaativampi, sisältää 51 lisävaatimusta ja tulisi täyttää 31. maaliskuuta 2025 mennessä. Toisin kuin, joka ei valmistautunut, saattaa kohdata ankaria rangaistuksia.
Mukautuakseen uusiin vaatimuksiin, joitakin keskeisiä toimia ovat: toteuttaapalomuuritja vahvat suojajärjestelmät; käyttää salaustekniikoita tiedonsiirrossa ja tallennuksessa; valvoa ja seurata jatkuvasti pääsyjä ja epäilyttäviä toimintoja; testata prosesseja ja järjestelmiä säännöllisesti haavoittuvuuksien tunnistamiseksi; luoda ja ylläpitää tiukkaa tietoturvapolitiikkaa.
Wagner korostaa, että käytännössä tämä tarkoittaa, että jokaisen korttimaksuja käsittelevän yrityksen on tarkistettava koko digitaalisen turvallisuutensa rakenne. Tämä sisältää järjestelmien päivittämisen, sisäisten käytäntöjen vahvistamisen ja tiimien kouluttamisen riskien minimoimiseksi. Esimerkiksi verkkokauppa tarvitsee varmistaa, että asiakkaiden tiedot ovat päästä päähän salattuja ja että vain valtuutetut käyttäjät pääsevät arkaluonteisiin tietoihin. Tavarantoimittajaverkosto puolestaan joutuu ottamaan käyttöön mekanismeja jatkuvaan valvontaan mahdollisten petostenteko-yritysten ja tietovuotojen varalta, hän havainnollistaa.
Pankkien ja fintech-yritysten on myös vahvistettava tunnistusmekanismejaan laajentamalla biometria- ja monivaihetodennuksen käyttöä. Tavoitteena on tehdä tapahtumista turvallisempia vaarantamatta asiakaskokemusta. Tämä vaatii tasapainoa suojan ja käytettävyyden välillä, mikä ala on jo viime vuosina kehittänyt, korostaa.
Mutta miksi tämä muutos on niin tärkeä? Ei ole liioiteltua sanoa, että digitaalinen petos on yhä kehittyneempää. Tietomurrot voivat johtaa miljoonaluokan menetyksiin ja korvaamattomiin vahinkoihin asiakkaiden luottamuksessa.
Wagner Elias varoittaa: "monet yritykset ottavat edelleen reaktiivisen asenteen, huolehtivat turvallisuudesta vasta hyökkäyksen jälkeen. Tämä käyttäytyminen on huolestuttavaa, sillä turvallisuuspuutteet voivat aiheuttaa merkittäviä taloudellisia menetyksiä ja korvaamattomia vahinkoja organisaation maineelle, jotka voitaisiin välttää ennaltaehkäisevillä toimilla."
Hän korostaa myös, että näiden riskien välttämiseksi suuri ero on ottaa käyttöön sovellusturvallisuuskäytännöt (Application Security) alusta alkaen uuden sovelluksen kehityksessä, varmistaen, että jokainen ohjelmistokehityksen vaihe sisältää suojaustoimenpiteitä. Tämä varmistaa suojaustoimenpiteiden lisäämisen kaikissa ohjelmiston elinkaaren vaiheissa, mikä on paljon taloudellisempaa kuin vahinkojen korjaaminen jälkikäteen.
On hyvä muistaa, että tämä on kasvava trendi kaikkialla maailmassa. Sovellusturvallisuusmarkkinat, jotka liikuttavat 11,62 miljardia dollaria vuonna 2024, ovat arvioiden mukaan saavuttamassa 25,92 miljardia dollaria vuoteen 2029 mennessä, kertoo Mordor Intelligence.
Wagner selittää, että ratkaisut kuten DevOps mahdollistavat jokaisen koodirivin kehittämisen suojakäytännöillä sekä palvelut kuten tunkeutumistestit ja haavoittuvuuksien lieventäminen. Jatkuvien turvallisuus- ja testiautomaatiotarkastusten tekeminen mahdollistaa yritysten noudattaa sääntöjä vaarantamatta tehokkuutta, hän korostaa.
Lisäksi erikoistuneet konsultointipalvelut ovat tärkeitä tässä prosessissa, auttaen yrityksiä sopeutumaan uusiin PCI DSS 4.0 -vaatimuksiin. Yleisimmät palvelut ovat Penetraatiotestaus, Red Team ja kolmannen osapuolen turvallisuusarvioinnit, jotka auttavat tunnistamaan ja korjaamaan haavoittuvuuksia ennen kuin rikolliset ehtivät hyödyntää niitä, hän kertoo.
Digitaalisten petosten yhä kehittyneempien huijausten myötä tietoturvan laiminlyönti ei ole enää vaihtoehto. Yritykset, jotka investoivat ennaltaehkäiseviin toimenpiteisiin, varmistavat asiakkaidensa suojan ja vahvistavat asemaansa markkinoilla. Uusien ohjeiden toteuttaminen on ennen kaikkea tärkeä askel turvallisempien ja luotettavampien maksuympäristöjen rakentamiseksi, hän toteaa.
