ब्राज़ील में, जहां क्रेडिट कार्ड एक प्रमुख भुगतान विधि है और डिजिटल डेटा नकदी के समान मूल्य रखता है, ऑनलाइन धोखाधड़ी के जोखिम लगातार बढ़ रहे हैं, जिससे उपभोक्ताओं और कंपनियों दोनों को अतिरिक्त सावधानी बरतनी पड़ती है।
समस्या के आकार का अंदाजा लगाने के लिए, हर दस में से चार ब्राजीलियाई पहले ही देश में धोखाधड़ी और वित्तीय घोटालों का शिकार हो चुके हैं, जो कि ब्राजीलियाई लोगों का 42% है। डेटा "डिजिटल पहचान और धोखाधड़ी रिपोर्ट 2024" से हैं, जो सेरासा एक्सपेरियन द्वारा किया गया एक सर्वेक्षण है।
एक अन्य अध्ययन, अब नेशनल कॉन्फेडरेशन ऑफ़ रिटेलर्स (CNDL) और क्रेडिट प्रोटेक्शन सर्विस (SPC ब्राज़ील) के साथ सेब्रे के साझेदारी में, दिखाता है कि पिछले 12 महीनों में लगभग 8.4 मिलियन उपभोक्ताओं ने वित्तीय संस्थानों में धोखाधड़ी की रिपोर्ट की है। धोखाधड़ी में, क्रेडिट और डेबिट कार्ड की क्लोनिंग सबसे प्रमुख प्रकार की धोखाधड़ी है।
हालांकि लगभग 70% ब्राज़ीलियाई तीन या अधिक कार्ड रखते हैं, जैसा कि सेरासा ने बताया है, जोखिम की धारणा अभी भी कम है। लगभग 69% ब्राज़ीलियाई लोग वित्तीय डेटा को वेबसाइटों और ऐप्स में दर्ज करने के खतरे को कम आंकते हैं, जिससे आबादी का एक बड़ा हिस्सा डिजिटल धोखाधड़ी और साइबर हमलों के प्रति उजागर हो जाता है।
डिजिटल सुरक्षा के बढ़ते चेतावनी के बीच, अच्छी खबरें आ रही हैं: नई पहल और तकनीकी प्रगति हर दिन ऑनलाइन वातावरण को अधिक सुरक्षित बना रही हैं।
हाल ही में, PCI सुरक्षा मानक परिषद (PCI SSC) ने भुगतान डेटा को संग्रहित, संसाधित या ट्रांसमिट करने वाली कंपनियों के लिए, साथ ही साथ सॉफ्टवेयर और उपकरणों के डेवलपर्स और निर्माताओं के लिए, सुरक्षा मानकों के निरंतर विकास और सुधार के लिए नई दिशानिर्देश प्रस्तावित किए हैं। पीसीआई एक वैश्विक संगठन है, जो भुगतान उद्योग के प्रमुख अभिनेताओं को एक साथ लाता है ताकि सुरक्षित लेनदेन के लिए संसाधनों के उपयोग को बढ़ावा दिया जा सके।
जैसे-जैसे खतरें और तकनीक विकसित हो रहे हैं, वैसे-वैसे PCI DSS मानक भी अपडेट हो रहे हैं। इसलिए, अब नई आवश्यकताओं पर ध्यान देना और आवश्यक संशोधन करना जरूरी है, यह चेतावनी देते हुए वाग्नर एलियास, कंविसो के सीईओ, जो एप्लिकेशन सुरक्षा के लिए समाधान विकसित करने वाली कंपनी है।
भुगतान कार्ड क्षेत्र के डेटा सुरक्षा मानक (PCI DSS) के अपडेट्स में से एक है, जो भुगतान के मूल्य श्रृंखला को सुरक्षित करने के लिए बनाया गया है। आपकी अनुपालन आवश्यकताएँ कार्डधारकों के डेटा संग्रह से लेकर संवेदनशील भुगतान जानकारी की सुरक्षा तक फैली हुई हैं।
संक्षेप में, ग्राहक डेटा की सुरक्षा को मजबूत करने के लिए अनधिकृत पहुंच को रोकने के लिए अतिरिक्त उपाय लागू करना आवश्यक है, विशेषज्ञ कहते हैं।
इसलिए, कंपनियों को अनुकूलित करने और नई तकनीकों में निवेश करने की आवश्यकता होगी। कुछ इन समाधानों में प्रत्येक एप्लिकेशन से संबंधित जोखिमों का पूर्ण दृश्य प्रदान करने की क्षमता है। इन उपकरणों में विभिन्न प्रणालियों का एकीकरण किया गया है, जानकारी को केंद्रीकृत करता है और कार्यों की प्राथमिकता में सहायता करता है, यह सब निरंतर रूप से, कंसिवो के सीईओ ने अपनी प्लेटफ़ॉर्म कंसिवो प्लेटफ़ॉर्म एप्लिकेशन सिक्योरिटी पोस्टर मैनेजमेंट (ASPM) के बारे में बताया, जिसे 2010 में लॉन्च किया गया था।
हालांकि, विशेषज्ञ का कहना है कि कई कंपनियां अभी भी अपनी प्रणालियों की सुरक्षा के प्रति प्रतिक्रियाशील रवैया अपनाती हैं, केवल हमले के बाद ही इस विषय को प्राथमिकता देती हैं। यह व्यवहार, उसके अनुसार, चिंताजनक है क्योंकि सुरक्षा खामियां वित्तीय नुकसान और संगठन की प्रतिष्ठा को अपूरणीय क्षति पहुंचा सकती हैं, जिन्हें रोकथाम उपायों से टाला जा सकता है।
उसके लिए, जब वह नए सॉफ्टवेयर के निर्माण पर विचार करता है, तो यह आवश्यक है कि कंपनी निर्माण चक्र के प्रत्येक चरण में सुरक्षा को शामिल करे, आवश्यकताओं के संग्रह से शुरू होकर (पहला चरण जो यह विश्लेषण करता है कि ऐप क्या करेगा) से लेकर डिप्लॉयमेंट (उत्पादन और अंतिम वितरण) तक।
इन खतरों से बचने के लिए, मुख्य अंतर यह है कि नए एप्लिकेशन के विकास की शुरुआत से ही एप्लिकेशन सुरक्षा (Application Security) के अभ्यासों को अपनाया जाए। इससे सॉफ्टवेयर के जीवन चक्र के हर चरण में सुरक्षा उपायों का समावेश सुनिश्चित होता है। यह घटना के बाद नुकसान की मरम्मत करने की तुलना में बहुत अधिक आर्थिक रूप से फायदेमंद है, और पूर्वानुमानात्मक सुरक्षा में निवेश करना बहुत अधिक प्रभावी है। यह हमलों को रोकने, संवेदनशील डेटा की रक्षा करने, नियमों और दिशानिर्देशों का पालन सुनिश्चित करने, और शुरुआत से ही एप्लिकेशन को सुरक्षित और विश्वसनीय बनाने की अनुमति देता है, विशेषज्ञ कहते हैं।
वाग्नर बताते हैं कि कंपनी सुरक्षा को DevOps के साथ एकीकृत करने वाले समाधान विकसित करती है, जिससे प्रत्येक कोड की लाइन को सुरक्षा प्रथाओं के साथ विकसित किया जाता है, इसके अलावा इनवेशन परीक्षण और कमजोरियों को कम करने जैसी सेवाएं भी प्रदान करती है। सुरक्षा और परीक्षण स्वचालन की निरंतर विश्लेषण करना कंपनियों को नियमों का पालन करने की अनुमति देता है बिना दक्षता से समझौता किए, वाग्नर ने कहा।
मजबूत प्रौद्योगिकियों के कार्यान्वयन के अलावा, Conviso के सीईओ विशेषज्ञ परामर्श सेवाओं के महत्व पर जोर देते हैं, जो कंपनियों को PCI DSS 4.0 और अन्य नियमों की आवश्यकताओं के अनुकूल बनाने में मदद करते हैं। आक्रमण परीक्षण, रेड टीम और तीसरे पक्ष की सुरक्षा मूल्यांकन जैसी आक्रामक सेवाएँ एक सक्रिय और व्यापक सुरक्षा दृष्टिकोण को बढ़ावा देती हैं, कमजोरियों की पहचान और सुधार करती हैं इससे पहले कि उन्हें exploited किया जा सके।
निवेशों को तेज करना चाहिए
इस डिजिटल सुरक्षा में परिवर्तन न केवल ऑनलाइन सुरक्षित वातावरण में उपभोक्ताओं का विश्वास मजबूत करता है, बल्कि यह एप्लिकेशन सुरक्षा बाजार के तेज़ी से बढ़ने के साथ भी जुड़ा है, जो 2024 में 11.62 अरब डॉलर से बढ़कर 2029 तक 25.92 अरब डॉलर तक पहुंचने की उम्मीद है, मर्डोर इंटेलिजेंस के अनुसार। उच्चतम तकनीक को लागू करना डिजिटल सुरक्षा में एक बदलाव का संकेत है और उस बाजार में विश्वास को मजबूत करता है जो पहले से कहीं अधिक सुरक्षा पर निर्भर है ताकि फल-फूल सके, वाग्नर ने कहा।
पीसीआई डीएसएस के 12 आवश्यकताओं की सूची देखें जिन्हें अनुपालन जांच 4.0 को पूरा करना चाहिए:
- फायरवॉल स्थापित करना और बनाए रखना
- विक्रेता की डिफ़ॉल्ट सेटिंग को हटाना
- कार्ड धारक के संग्रहीत डेटा की सुरक्षा करना
- भुगतान डेटा के संचरण को एन्क्रिप्ट करना
- नियमित रूप से एंटीवायरस सॉफ़्टवेयर को अपडेट करें
- सुरक्षित सिस्टम और एप्लिकेशन लागू करना
- कार्ड धारक के डेटा तक पहुंच को आवश्यकतानुसार सीमित करें
- उपयोगकर्ता की पहुँच पहचान सौंपना
- भौतिक डेटा तक पहुंच को सीमित करें
- नेटवर्क तक पहुंच को ट्रैक और मॉनिटर करना
- निरंतर प्रक्रियाओं और प्रणालियों का परीक्षण करना कमजोरियों की खोज में
- सूचना सुरक्षा नीति बनाना और बनाए रखना
पीसीआई डीएसएस 4.0 के दिशानिर्देशों का कार्यान्वयन दो चरणों में किया जा रहा है:
- पहले चरण, जिसमें 13 नए आवश्यकताएँ थीं, की अंतिम तिथि 31 मार्च 2024 थी।
- दूसरे चरण, जिसमें 51 अतिरिक्त आवश्यकताएँ हैं, 31 मार्च 2025 तक लागू की जानी चाहिए।
