डिजिटल सुरक्षा ने अभी नई नियमें प्राप्त की हैं और कार्ड डेटा संसाधित करने वाली कंपनियों को अनुकूलित करना आवश्यक है। पेमेन्ट कार्ड सेक्टर डेटा सुरक्षा मानक (PCI DSS) के संस्करण 4.0 के आगमन के साथ, जो PCI सुरक्षा मानक परिषद (PCI SSC) द्वारा स्थापित किया गया है, परिवर्तन महत्वपूर्ण हैं और सीधे ग्राहकों के डेटा की सुरक्षा और भुगतान डेटा के संग्रहण, प्रसंस्करण और संचार पर प्रभाव डालते हैं। लेकिन अंत में, वास्तव में क्या बदलता है?
प्रमुख परिवर्तन डिजिटल सुरक्षा के और भी उच्च स्तर की आवश्यकता है। कंपनियों को मजबूत क्रिप्टोग्राफी और मल्टीफैक्टर प्रमाणीकरण जैसी उन्नत तकनीकों में निवेश करना होगा। यह विधि उपयोगकर्ता की पहचान की पुष्टि के लिए कम से कम दो प्रमाणीकरण कारकों की आवश्यकता है, जिससे सिस्टम, एप्लिकेशन या लेनदेन तक पहुंच को सुनिश्चित किया जा सके, भले ही अपराधियों के पास पासवर्ड या व्यक्तिगत डेटा हो।
प्रमाणीकरण के लिए उपयोग किए जाने वाले कारकों में शामिल हैं:
- कुछ ऐसा जो उपयोगकर्ता जानता हैगुप्त शब्द, पिन या सुरक्षा प्रश्नों के उत्तर।
- कुछ जो उपयोगकर्ता के पास हैभौतिक टोकन, सत्यापन कोड के साथ एसएमएस, प्रमाणीकरण ऐप्स (जैसे Google Authenticator) या डिजिटल प्रमाणपत्र।
- कुछ जो उपयोगकर्ता हैडिजिटल बायोमेट्रिक्स, चेहरे की पहचान, आवाज़ की पहचान या आइरिस।
"इन सुरक्षा परतों से अनधिकृत पहुंच बहुत अधिक कठिन हो जाती है और संवेदनशील डेटा के लिए अधिक सुरक्षा सुनिश्चित होती है," वह समझाते हैं।
संक्षेप में, ग्राहकों के डेटा की सुरक्षा को मजबूत करने के लिए अतिरिक्त उपाय लागू करना आवश्यक है ताकि अनधिकृत पहुंच को रोका जा सके, वाग्नर एलियास, कंविसो के सीईओ, जो एप्लिकेशन सुरक्षा के लिए समाधान विकसित करने वाली कंपनी है, बताते हैं। यह अब "आवश्यकतानुसार अनुकूलित होने" का मामला नहीं है, बल्कि पूर्वानुमानित रूप से कार्य करने का है, यह उजागर करता है।
नई नियमों के अनुसार, कार्यान्वयन दो चरणों में होता है: पहला, जिसमें 13 नए आवश्यकताएँ हैं, का अंतिम समय मार्च 2024 था। दूसरे चरण, जो अधिक कठिन है, में 51 अतिरिक्त आवश्यकताएँ शामिल हैं और इसे 31 मार्च 2025 तक पूरा किया जाना चाहिए। यानि, जो तैयारी नहीं करेगा उसे कड़ी सजा का सामना करना पड़ सकता है।
नई आवश्यकताओं के अनुरूप होने के लिए, कुछ मुख्य कदम हैं: लागू करनाफायरवॉल्समजबूत सुरक्षा प्रणालियों का उपयोग करना; डेटा के ट्रांसमिशन और संग्रहण में क्रिप्टोग्राफी का उपयोग करना; निरंतर पहुंच और संदिग्ध गतिविधियों की निगरानी और ट्रैकिंग करना; कमजोरियों की पहचान के लिए प्रक्रियाओं और प्रणालियों का लगातार परीक्षण करना; सख्त सूचना सुरक्षा नीति बनाना और बनाए रखना।
वाग्नर ने जोर दिया कि व्यावहारिक रूप से इसका मतलब है कि जो कोई भी कंपनी कार्ड के माध्यम से भुगतान से निपटती है, उसे अपनी संपूर्ण डिजिटल सुरक्षा संरचना की समीक्षा करनी होगी। यह सिस्टम को अपडेट करने, आंतरिक नीतियों को मजबूत करने और जोखिमों को कम करने के लिए टीमों का प्रशिक्षण देने से संबंधित है। उदाहरण के लिए, एक ई-कॉमर्स को यह सुनिश्चित करना होगा कि ग्राहक डेटा एंड-टू-एंड एन्क्रिप्टेड हो और केवल अधिकृत उपयोगकर्ताओं को ही संवेदनशील जानकारी तक पहुंच हो। वहीं एक रिटेल नेटवर्क को निरंतर संभावित धोखाधड़ी और डेटा लीक के प्रयासों की निगरानी के लिए तंत्र लागू करने होंगे, वह उदाहरण देता है।
बैंक और फिनटेक को भी अपनी प्रमाणीकरण प्रणालियों को मजबूत करने की आवश्यकता होगी, जैसे बायोमेट्रिक और मल्टीफैक्टर प्रमाणीकरण जैसी तकनीकों का उपयोग बढ़ाना। लक्ष्य है लेनदेन को अधिक सुरक्षित बनाना बिना ग्राहक के अनुभव को प्रभावित किए। इसके लिए सुरक्षा और उपयोगिता के बीच संतुलन आवश्यक है, जो कि वित्तीय क्षेत्र पिछले कुछ वर्षों से सुधार रहा है, यह उल्लेख करता है।
लेकिन, यह परिवर्तन इतना महत्वपूर्ण क्यों है? डिजिटल धोखाधड़ी अब अधिक परिष्कृत हो रही है, यह कहना अतिशयोक्ति नहीं है। डेटा लीक से करोड़ों का नुकसान और ग्राहकों के विश्वास को अपूरणीय क्षति हो सकती है।
वाग्नर एलियास चेतावनी देते हैं: "कई कंपनियां अभी भी प्रतिक्रियाशील रवैया अपनाती हैं, केवल जब हमला हो जाता है तभी सुरक्षा की चिंता करती हैं। यह व्यवहार चिंताजनक है, क्योंकि सुरक्षा में खामियां वित्तीय नुकसान और संगठन की प्रतिष्ठा को अपूरणीय क्षति पहुंचा सकती हैं, जिन्हें रोकथाम उपायों से टाला जा सकता है।"
वह यह भी उजागर करता है कि इन जोखिमों से बचने के लिए मुख्य अंतर यह है कि नए एप्लिकेशन के विकास की शुरुआत से ही एप्लिकेशन सुरक्षा (Application Security) के अभ्यासों को अपनाना, यह सुनिश्चित करना कि सॉफ्टवेयर के विकास चक्र के प्रत्येक चरण में सुरक्षा उपाय मौजूद हों। यह सॉफ्टवेयर के जीवन चक्र के सभी चरणों में सुरक्षा उपायों को शामिल करने की गारंटी देता है, जो कि किसी घटना के बाद नुकसान की मरम्मत करने की तुलना में बहुत अधिक आर्थिक है।
यह याद रखना महत्वपूर्ण है कि यह एक प्रवृत्ति है जो पूरे विश्व में बढ़ रही है। एप्लिकेशन सुरक्षा बाजार, जो 2024 में 11.62 अरब डॉलर का है, 2029 तक 25.92 अरब डॉलर तक पहुंचने की उम्मीद है, मर्डोर इंटेलिजेंस के अनुसार।
वाग्नर बताते हैं कि DevOps जैसी समाधानों से हर कोड की लाइन को सुरक्षा प्रथाओं के साथ विकसित किया जा सकता है, इसके अलावा इनवेशन परीक्षण और कमजोरियों को कम करने जैसी सेवाएं भी शामिल हैं। सुरक्षा और परीक्षण स्वचालन की निरंतर विश्लेषण करना कंपनियों को दक्षता से समझौता किए बिना मानकों का पालन करने की अनुमति देता है, यह उजागर करता है।
इसके अलावा, विशेषज्ञ परामर्श इस प्रक्रिया में महत्वपूर्ण हैं, जो कंपनियों को PCI DSS 4.0 की नई आवश्यकताओं के अनुकूल बनाने में मदद करते हैं। सबसे अधिक खोजे जाने वाली सेवाओं में पेनेट्रेशन टेस्टिंग, रेड टीम और थर्ड-पार्टी सुरक्षा मूल्यांकन शामिल हैं, जो खामियों की पहचान करने और उन्हें अपराधियों द्वारा शोषित होने से पहले ठीक करने में मदद करते हैं, वह बताते हैं।
डिजिटल धोखाधड़ी अधिक से अधिक परिष्कृत हो रही है, डेटा सुरक्षा को नजरअंदाज करना अब विकल्प नहीं है। जो कंपनियां निवारक उपायों में निवेश करती हैं, वे अपने ग्राहकों की सुरक्षा सुनिश्चित करती हैं और अपने बाजार में स्थिति मजबूत करती हैं। नई दिशानिर्देशों को लागू करना सबसे पहले एक आवश्यक कदम है ताकि एक अधिक सुरक्षित और विश्वसनीय भुगतान वातावरण का निर्माण किया जा सके, वह समाप्त करता है।
