डिजिटल सुरक्षा के लिए नए नियम लागू हो गए हैं, और कार्ड डेटा प्रोसेस करने वाली कंपनियों को भी इसके अनुकूल होना होगा। पीसीआई सुरक्षा मानक परिषद (पीसीआई एसएससी) द्वारा स्थापित भुगतान कार्ड उद्योग डेटा सुरक्षा मानक (पीसीआई डीएसएस) के संस्करण 4.0 के आगमन के साथ, ये बदलाव महत्वपूर्ण हैं और ग्राहक डेटा की सुरक्षा और भुगतान डेटा के भंडारण, प्रसंस्करण और प्रसारण के तरीके को सीधे प्रभावित करते हैं। लेकिन असल में क्या बदलता है?
मुख्य बदलाव डिजिटल सुरक्षा के और भी उच्च स्तर की आवश्यकता है। कंपनियों को मज़बूत एन्क्रिप्शन और बहु-कारक प्रमाणीकरण जैसी उन्नत तकनीकों में निवेश करना होगा। इस पद्धति में सिस्टम, एप्लिकेशन या लेनदेन तक पहुँच प्रदान करने से पहले उपयोगकर्ता की पहचान की पुष्टि के लिए कम से कम दो सत्यापन कारकों की आवश्यकता होती है, जिससे हैकिंग और भी कठिन हो जाती है, भले ही अपराधियों को पासवर्ड या व्यक्तिगत डेटा तक पहुँच मिल जाए।
उपयोग किये जाने वाले प्रमाणीकरण कारक निम्नलिखित हैं:
- कुछ ऐसा जो उपयोगकर्ता जानता हो : पासवर्ड, पिन, या सुरक्षा प्रश्नों के उत्तर।
- उपयोगकर्ता के पास कुछ : भौतिक टोकन, सत्यापन कोड वाले एसएमएस, प्रमाणक ऐप्स (जैसे गूगल प्रमाणक), या डिजिटल प्रमाणपत्र।
- उपयोगकर्ता कुछ ऐसा है : डिजिटल, चेहरे, आवाज या आईरिस पहचान बायोमेट्रिक्स।
उन्होंने बताया, "सुरक्षा की ये परतें अनधिकृत पहुंच को और अधिक कठिन बना देती हैं और संवेदनशील डेटा के लिए बेहतर सुरक्षा सुनिश्चित करती हैं।"
एप्लिकेशन सुरक्षा समाधानों के डेवलपर, कॉन्विसो के सीईओ, वैगनर एलियास बताते हैं, "संक्षेप में, हमें अनधिकृत पहुँच को रोकने के लिए अतिरिक्त उपाय लागू करके ग्राहक डेटा की सुरक्षा को मज़बूत करना होगा।" वे ज़ोर देकर कहते हैं, "अब बात 'ज़रूरत पड़ने पर अनुकूलन' की नहीं, बल्कि निवारक कार्रवाई की है।"
नए नियमों के तहत, कार्यान्वयन दो चरणों में होगा: पहला, जिसमें 13 नई आवश्यकताएं शामिल हैं, जिसकी समय सीमा मार्च 2024 है। दूसरा, अधिक कठिन चरण, जिसमें 51 अतिरिक्त आवश्यकताएं शामिल हैं और इसे 31 मार्च 2025 तक पूरा किया जाना चाहिए। दूसरे शब्दों में, जो लोग तैयारी करने में विफल रहते हैं, उन्हें गंभीर दंड का सामना करना पड़ सकता है।
नई आवश्यकताओं के अनुकूल होने के लिए, कुछ प्रमुख कार्यवाहियां इस प्रकार हैं: फायरवॉल और मजबूत सुरक्षा प्रणालियों को लागू करना; डेटा ट्रांसमिशन और भंडारण में एन्क्रिप्शन का उपयोग करना; संदिग्ध पहुंच और गतिविधि की निरंतर निगरानी और ट्रैकिंग करना; कमजोरियों की पहचान करने के लिए प्रक्रियाओं और प्रणालियों का निरंतर परीक्षण करना; और एक कठोर सूचना सुरक्षा नीति बनाना और उसे बनाए रखना।
वैगनर इस बात पर ज़ोर देते हैं कि व्यवहार में, इसका मतलब यह है कि कार्ड भुगतान करने वाली किसी भी कंपनी को अपने संपूर्ण डिजिटल सुरक्षा ढांचे की समीक्षा करनी होगी। इसमें सिस्टम को अपडेट करना, आंतरिक नीतियों को मज़बूत करना और जोखिमों को कम करने के लिए टीमों को प्रशिक्षित करना शामिल है। वे बताते हैं, "उदाहरण के लिए, एक ई-कॉमर्स कंपनी को यह सुनिश्चित करना होगा कि ग्राहक डेटा एंड-टू-एंड एन्क्रिप्टेड हो और केवल अधिकृत उपयोगकर्ताओं की ही संवेदनशील जानकारी तक पहुँच हो। दूसरी ओर, एक रिटेल चेन को संभावित धोखाधड़ी के प्रयासों और डेटा लीक की निरंतर निगरानी के लिए तंत्र लागू करने होंगे।"
बैंकों और वित्तीय प्रौद्योगिकी कंपनियों को भी अपने प्रमाणीकरण तंत्र को मज़बूत करना होगा और बायोमेट्रिक्स तथा बहु-कारक प्रमाणीकरण जैसी तकनीकों का उपयोग बढ़ाना होगा। "लक्ष्य ग्राहक अनुभव से समझौता किए बिना लेनदेन को अधिक सुरक्षित बनाना है। इसके लिए सुरक्षा और उपयोगिता के बीच संतुलन ज़रूरी है, जिसे वित्तीय क्षेत्र ने हाल के वर्षों में बेहतर बनाया है," वे ज़ोर देते हैं।
लेकिन यह बदलाव इतना ज़रूरी क्यों है? यह कहना कोई अतिशयोक्ति नहीं होगी कि डिजिटल धोखाधड़ी तेज़ी से जटिल होती जा रही है। डेटा उल्लंघनों से लाखों डॉलर का नुकसान हो सकता है और ग्राहकों के भरोसे को अपूरणीय क्षति पहुँच सकती है।
वैगनर एलियास चेतावनी देते हैं: "कई कंपनियाँ अभी भी प्रतिक्रियात्मक रवैया अपनाती हैं और हमले के बाद ही सुरक्षा की चिंता करती हैं। यह व्यवहार चिंताजनक है, क्योंकि सुरक्षा उल्लंघनों से भारी वित्तीय नुकसान हो सकता है और संगठन की प्रतिष्ठा को अपूरणीय क्षति हो सकती है, जिसे निवारक उपायों से टाला जा सकता है।"
वह आगे ज़ोर देते हैं कि इन जोखिमों से बचने के लिए, नए एप्लिकेशन के विकास की शुरुआत से ही एप्लिकेशन सुरक्षा प्रथाओं को अपनाना ज़रूरी है, ताकि यह सुनिश्चित हो सके कि सॉफ़्टवेयर विकास चक्र के प्रत्येक चरण में पहले से ही सुरक्षात्मक उपाय मौजूद हों। इससे यह सुनिश्चित होता है कि सॉफ़्टवेयर जीवनचक्र के सभी चरणों में सुरक्षात्मक उपाय लागू किए जाएँ, जो किसी दुर्घटना के बाद होने वाले नुकसान की भरपाई करने की तुलना में कहीं अधिक किफ़ायती है।
यह ध्यान देने योग्य है कि यह दुनिया भर में एक बढ़ता हुआ चलन है। मोर्डोर इंटेलिजेंस के अनुसार, एप्लिकेशन सुरक्षा बाज़ार, जिसका मूल्य 2024 में $11.62 बिलियन था, 2029 तक $25.92 बिलियन तक पहुँचने की उम्मीद है।
वैगनर बताते हैं कि DevOps जैसे समाधान, पेनेट्रेशन टेस्टिंग और भेद्यता शमन जैसी सेवाओं के अलावा, कोड की हर पंक्ति को सुरक्षित तरीकों से विकसित करने की अनुमति देते हैं। वे ज़ोर देते हैं, "निरंतर सुरक्षा विश्लेषण और परीक्षण स्वचालन कंपनियों को दक्षता से समझौता किए बिना नियमों का पालन करने की अनुमति देता है।"
इसके अलावा, इस प्रक्रिया में विशेष परामर्श सेवाएँ महत्वपूर्ण हैं, जो कंपनियों को नई PCI DSS 4.0 आवश्यकताओं के अनुकूल होने में मदद करती हैं। वे बताते हैं, "सबसे ज़्यादा माँग वाली सेवाओं में पेनेट्रेशन टेस्टिंग, रेड टीम और तृतीय-पक्ष सुरक्षा आकलन शामिल हैं, जो अपराधियों द्वारा उनका फायदा उठाए जाने से पहले कमज़ोरियों की पहचान करने और उन्हें ठीक करने में मदद करते हैं।"
डिजिटल धोखाधड़ी के लगातार जटिल होते जाने के साथ, डेटा सुरक्षा की अनदेखी अब कोई विकल्प नहीं है। "जो कंपनियाँ निवारक उपायों में निवेश करती हैं, वे अपने ग्राहकों की सुरक्षा सुनिश्चित करती हैं और बाज़ार में अपनी स्थिति मज़बूत करती हैं। नए दिशानिर्देशों को लागू करना, सबसे बढ़कर, एक सुरक्षित और अधिक विश्वसनीय भुगतान वातावरण बनाने की दिशा में एक ज़रूरी कदम है," वे निष्कर्ष निकालते हैं।
