Digitalna sigurnost upravo je dobila nova pravila, a tvrtke koje obrađuju podatke o karticama moraju se prilagoditi. Dolaskom verzije 4.0 Standarda sigurnosti podataka industrije platnih kartica (PCI DSS), koji je uspostavilo Vijeće za sigurnosne standarde PCI-ja (PCI SSC), promjene su značajne i izravno utječu na zaštitu podataka o korisnicima i način na koji se podaci o plaćanju pohranjuju, obrađuju i prenose. Ali što se stvarno mijenja?
Glavna promjena je potreba za još višom razinom digitalne sigurnosti. Tvrtke će morati ulagati u napredne tehnologije poput robusne enkripcije i višefaktorske autentifikacije. Ova metoda zahtijeva najmanje dva faktora provjere kako bi se potvrdio identitet korisnika prije odobravanja pristupa sustavima, aplikacijama ili transakcijama, što otežava hakiranje, čak i ako kriminalci dobiju pristup lozinkama ili osobnim podacima.
Među korištenim faktorima autentifikacije su:
- Nešto što korisnik zna : lozinke, PIN-ovi ili odgovori na sigurnosna pitanja.
- Nešto što korisnik ima : fizički tokeni, SMS s verifikacijskim kodovima, aplikacije za autentifikaciju (poput Google Authenticatora) ili digitalni certifikati.
- Nešto što korisnik jest : digitalna biometrijska identifikacija, biometrijska identifikacija lica, glasa ili šarenice.
„Ovi slojevi zaštite znatno otežavaju neovlašteni pristup i osiguravaju veću sigurnost osjetljivih podataka“, objašnjava.
„Ukratko, moramo ojačati zaštitu podataka korisnika primjenom dodatnih mjera za sprječavanje neovlaštenog pristupa“, objašnjava Wagner Elias, izvršni direktor tvrtke Conviso, proizvođača rješenja za sigurnost aplikacija. „Više nije stvar 'prilagođavanja kada je to potrebno', već preventivnog djelovanja“, naglašava.
Prema novim pravilima, provedba se odvija u dvije faze: prva, s 13 novih zahtjeva, imala je rok do ožujka 2024. Druga, zahtjevnija faza, uključuje 51 dodatni zahtjev i mora se ispuniti do 31. ožujka 2025. Drugim riječima, oni koji se ne pripreme mogu se suočiti s ozbiljnim kaznama.
Kako bi se prilagodili novim zahtjevima, neke od ključnih akcija uključuju: implementaciju vatrozida i robusnih zaštitnih sustava; korištenje enkripcije u prijenosu i pohrani podataka; kontinuirano praćenje i nadzor sumnjivog pristupa i aktivnosti; stalno testiranje procesa i sustava radi identificiranja ranjivosti; te stvaranje i održavanje stroge politike informacijske sigurnosti.
Wagner naglašava da to u praksi znači da će svaka tvrtka koja obrađuje plaćanja karticama morati preispitati cijelu svoju digitalnu sigurnosnu strukturu. To uključuje ažuriranje sustava, jačanje internih politika i obuku timova kako bi se rizici sveli na minimum. „Na primjer, tvrtka za e-trgovinu morat će osigurati da su podaci o kupcima šifrirani od početka do kraja i da samo ovlašteni korisnici imaju pristup osjetljivim informacijama. S druge strane, maloprodajni lanac morat će implementirati mehanizme za kontinuirano praćenje mogućih pokušaja prijevare i curenja podataka“, objašnjava.
Banke i fintech tvrtke također će morati ojačati svoje mehanizme autentifikacije, proširujući upotrebu tehnologija poput biometrije i višefaktorske autentifikacije. „Cilj je učiniti transakcije sigurnijima bez ugrožavanja korisničkog iskustva. To zahtijeva ravnotežu između zaštite i upotrebljivosti, nešto što financijski sektor poboljšava posljednjih godina“, naglašava.
Ali zašto je ova promjena toliko važna? Nije pretjerano reći da digitalne prijevare postaju sve sofisticiranije. Kršenje podataka može rezultirati gubicima od milijuna dolara i nepopravljivom štetom na povjerenju kupaca.
Wagner Elias upozorava: „Mnoge tvrtke još uvijek usvajaju reaktivni pristup, brinući se o sigurnosti tek nakon što se dogodi napad. Takvo ponašanje je zabrinjavajuće, jer sigurnosni propusti mogu dovesti do značajnih financijskih gubitaka i nepopravljive štete za ugled organizacije, što bi se moglo izbjeći preventivnim mjerama.“
Nadalje naglašava da je za izbjegavanje ovih rizika ključno usvojiti prakse sigurnosti aplikacija od samog početka razvoja nove aplikacije, osiguravajući da svaka faza ciklusa razvoja softvera već ima zaštitne mjere. To osigurava da se zaštitne mjere provode u svim fazama životnog ciklusa softvera, što je puno isplativije od saniranja štete nakon incidenta.
Vrijedi napomenuti da je ovo rastući trend u cijelom svijetu. Prema Mordor Intelligenceu, tržište sigurnosti aplikacija, koje je 2024. godine procijenjeno na 11,62 milijarde dolara, trebalo bi do 2029. godine dosegnuti 25,92 milijarde dolara.
Wagner objašnjava da rješenja poput DevOpsa omogućuju razvoj svake linije koda sigurnim praksama, uz usluge poput testiranja penetracije i ublažavanja ranjivosti. „Provođenje kontinuirane sigurnosne analize i automatizacije testiranja omogućuje tvrtkama da se pridržavaju propisa bez ugrožavanja učinkovitosti“, naglašava.
Nadalje, u ovom procesu važne su specijalizirane konzultantske usluge koje pomažu tvrtkama da se prilagode novim zahtjevima PCI DSS 4.0. „Među najtraženijim uslugama su testiranje penetracije, Red Team i sigurnosne procjene trećih strana, koje pomažu u identificiranju i ispravljanju ranjivosti prije nego što ih kriminalci mogu iskoristiti“, objašnjava.
S obzirom na sve sofisticiranije digitalne prijevare, ignoriranje sigurnosti podataka više nije opcija. „Tvrtke koje ulažu u preventivne mjere osiguravaju zaštitu svojih kupaca i jačaju svoju tržišnu poziciju. Provedba novih smjernica prije svega je bitan korak prema izgradnji sigurnijeg i pouzdanijeg okruženja za plaćanja“, zaključuje.
