Les entreprises utilisant des cartes de crédit ont jusqu'en mars pour mettre en œuvre de nouvelles mesures de sécurité numérique

Au Brésil, où la carte de crédit est l'une des principales formes de paiement et où les données numériques ont une valeur comparable à l'argent liquide, les risques de fraude en ligne deviennent de plus en plus présents, ce qui exige une attention accrue de la part des consommateurs et des entreprises.

Pour se faire une idée de la dimension du problème, quatre Brésiliens sur dix ont déjà été victimes d'escroqueries financières et de fraudes dans le pays, ce qui représente 421TP3 T de Brésiliens Les données sont issues du “Digital Identity and Fraud Report 2024”, une enquête de Serasa Experian.

Une autre étude, désormais réalisée par la Confédération nationale des commerçants (CNDL) et le Service de protection du crédit (SPC Brésil), en partenariat avec Sebrae, montre qu'environ 8,4 millions de consommateurs ont signalé des fraudes dans les institutions financières au cours des 12 derniers mois. Parmi les escroqueries, le clonage des cartes de crédit et de débit figure comme principal type de fraude. 

Bien qu'environ 701TP3 T de Brésiliens possèdent trois cartes ou plus, comme le souligne Serasa, la perception du risque est encore faible Environ 691TP3 T de Brésiliens continuent de sous-estimer le danger d'enregistrer des données financières sur des sites Web et des applications, ce qui laisse une énorme partie de la population exposée aux escroqueries numériques et aux cyberattaques. 

Au milieu de l'alerte croissante sur la sécurité numérique, de bonnes nouvelles apparaissent : de nouvelles initiatives et avancées technologiques rendent chaque jour plus sûr l'environnement en ligne. 

Récemment, le Conseil des normes de sécurité de PCI (CSS de PCI) a proposé de nouvelles lignes directrices pour la poursuite du développement et de l'amélioration des normes de sécurité, applicables aux entreprises qui stockent, traitent ou transmettent des données de paiement, ainsi qu'aux développeurs et fabricants de logiciels et d'appareils utilisés dans les transactions. PCI est une organisation mondiale, qui rassemble les principaux acteurs du secteur des paiements pour stimuler l'utilisation des ressources pour des transactions sécurisées. 

“A mesure que les menaces et la technologie évoluent, les normes PCI DSS se mettent également à jour Ainsi, il faut maintenant être au courant des nouvelles exigences et procéder aux ajustements nécessaires”, prévient Wagner Elias, CEO de Conviso, développeur de solution pour la sécurité des applications.

Les mises à jour incluent la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), conçue pour protéger l'ensemble de la chaîne de valeur des paiements par carte.

“En bref, nous devons renforcer la protection des données des clients en mettant en œuvre des mesures supplémentaires pour empêcher les accès non autorisés”, affirme l'expert.

Ainsi, les entreprises devront s'adapter et investir dans les nouvelles technologies Pour se faire une idée, certaines de ces solutions sont en mesure de fournir une vue complète des risques liés à chaque application.“Ces outils intègrent différents systèmes, centralisant l'information et aidant à la priorisation des actions, le tout de manière continue”, explique le PDG de Conviso, à propos de sa plateforme Conviso Platform Application Security Posture Management (ASPM), lancée en 2010.

Toutefois, l'expert fait remarquer que de nombreuses entreprises adoptent encore une posture réactive concernant la sécurité de leurs systèmes, ne privilégiant la question qu'après avoir subi une attaque Ce comportement, selon lui, est préoccupant, car les défaillances de sécurité peuvent causer des pertes financières importantes et des dommages irréparables à la réputation de l'organisation, qui pourraient être évités grâce à des mesures préventives.

Pour lui, lorsqu'il envisage la création de nouveaux logiciels, il est essentiel que l'entreprise intègre la sécurité dans chaque phase du cycle de création, allant de l'enquête sur les exigences (première phase qui analyse ce que l'application accomplira) au déploiement (production et livraison finale). 

“Pour éviter ces risques, le grand différentiel est d'adopter des pratiques de Sécurité des applications (Sécurité des applications) dès le début du développement de la nouvelle application Cela assure l'insertion de mesures de protection à toutes les étapes du cycle de vie du logiciel En plus d'être nettement plus économique que de remédier aux dommages après un incident, investir dans la sécurité préventive est beaucoup plus efficace Cela permet de prévenir les attaques, de protéger les données sensibles, de s'assurer du respect de la législation et des directives, et de s'assurer que l'application est sûre et fiable pour les utilisateurs dès le début du”, affirme l'expert.

Wagner explique que la société développe des solutions qui intègrent la sécurité avec DevOps, permettant de développer chaque ligne de code avec des pratiques de protection, ainsi que des services tels que les tests d'intrusion et l'atténuation de la vulnérabilité aux“La réalisation d'une analyse de sécurité continue et de l'automatisation des tests permet aux entreprises de respecter les normes sans faire de compromis sur l'efficacité des”, a déclaré Wagner.

En plus de mettre en œuvre des technologies robustes, le PDG de Conviso souligne l'importance des cabinets de conseil spécialisés qui aident les entreprises à s'adapter aux exigences de PCI DSS 4.0 et d'autres réglementations. Les services offensifs tels que les tests de pénétration, l'équipe rouge et les évaluations de sécurité par des tiers favorisent une approche de sécurité proactive et complète en identifiant et en corrigeant les vulnérabilités avant qu'elles puissent être exploitées. 

Les investissements doivent s'accélérer 

Cette transformation de la sécurité numérique renforce non seulement la confiance des consommateurs dans un environnement en ligne sécurisé, mais accompagne également la croissance accélérée du marché de la sécurité des applications, qui devrait passer de 11,62 milliards US$ en 2024 à 25,92 milliards US$ d'ici 2029, selon Mordor Intelligence. La mise en œuvre d'une technologie de pointe marque un tournant dans la protection numérique et renforce la confiance dans un marché qui dépend, plus que jamais, de la sécurité pour prospérer”, conclut Wagner. 

Consultez la liste des 12 exigences PCI DSS auxquelles le contrôle de conformité 4.0 doit répondre : 

1. Installer et entretenir un pare-feu
2. Supprimer la configuration du fournisseur par défaut
3. Protéger les données stockées du titulaire de la carte
4. Chiffrer la transmission des données de paiement
5. Mettre régulièrement à jour le logiciel antivirus
6. Déployer des systèmes et des applications sécurisés
7. Restreindre l'accès aux données des titulaires de carte au besoin
8. Attribuer l'identification d'accès utilisateur
9. Restreindre l'accès physique aux données
10. Suivi et surveillance de l'accès au réseau
11. Tester continuellement les processus et les systèmes pour détecter les vulnérabilités
12. Créer et maintenir une politique infosec

La mise en oeuvre des lignes directrices de la DSS 4.0 de la PCI se fait en deux phases : 

• La première phase, avec 13 nouvelles exigences, avait pour date limite le 31 mars 2024.
• La deuxième phase, avec 51 besoins supplémentaires, devrait être mise en œuvre d'ici le 31 mars 2025.