Цифрова безпека щойно отримала нові правила, і компанії, які обробляють дані карток, повинні адаптуватися. З появою версії 4.0 Стандарту безпеки даних індустрії платіжних карток (PCI DSS), встановленого Радою зі стандартів безпеки PCI (PCI SSC), зміни є значними та безпосередньо впливають на захист даних клієнтів та на те, як платіжні дані зберігаються, обробляються та передаються. Але що, зрештою, насправді змінюється?
Головна зміна полягає в потребі ще вищого рівня цифрової безпеки. Компаніям доведеться інвестувати в передові технології, такі як надійне шифрування та багатофакторна автентифікація. Цей метод вимагає щонайменше двох факторів перевірки для підтвердження особи користувача перед наданням доступу до систем, програм або транзакцій, що ускладнює злом, навіть якщо злочинці мають доступ до паролів або персональних даних.
Використані фактори автентифікації включають:
- Щось, що знає користувач : паролі, PIN-коди або відповіді на контрольні запитання.
- Щось, що є у користувача : фізичні токени, SMS з кодами підтвердження, програми для автентифікації (наприклад, Google Authenticator) або цифрові сертифікати.
- Щось, чим є користувач : цифрова біометрія, розпізнавання обличчя, розпізнавання голосу або розпізнавання райдужної оболонки ока.
«Ці рівні захисту значно ускладнюють несанкціонований доступ і забезпечують більшу безпеку конфіденційних даних», – пояснює він.
«Коротше кажучи, необхідно посилити захист даних клієнтів, впровадивши додаткові заходи для запобігання несанкціонованому доступу», – пояснює Вагнер Еліас, генеральний директор Conviso, розробника рішень для безпеки додатків. «Йдеться вже не про «адаптацію, коли це необхідно», а про превентивні дії», – наголошує він.
Згідно з новими правилами, впровадження відбувається у два етапи: перший, з 13 новими вимогами, мав кінцевий термін виконання у березні 2024 року. Другий етап, більш вимогливий, включає 51 додаткову вимогу та має бути завершений до 31 березня 2025 року. Іншими словами, ті, хто не підготувався, можуть зіткнутися з суворими покараннями.
Щоб відповідати новим вимогам, деякі з основних дій включають: впровадження брандмауерів та систем захисту; використання шифрування під час передачі та зберігання даних; постійний моніторинг та відстеження підозрілого доступу та діяльності; постійне тестування процесів та систем для виявлення вразливостей; а також створення та підтримка суворої політики інформаційної безпеки.
Вагнер наголошує, що на практиці це означає, що будь-яка компанія, яка обробляє карткові платежі, повинна буде переглянути всю свою структуру цифрової безпеки. Це включає оновлення систем, посилення внутрішніх політик та навчання команд для мінімізації ризиків. «Наприклад, компанія електронної комерції повинна буде забезпечити наскрізне шифрування даних клієнтів і те, що лише авторизовані користувачі мають доступ до конфіденційної інформації. З іншого боку, роздрібна мережа повинна буде впровадити механізми для постійного моніторингу можливих спроб шахрайства та витоків даних», – наводить він приклад.
Банкам та фінтех-компаніям також потрібно буде посилити свої механізми автентифікації, розширюючи використання таких технологій, як біометрична та багатофакторна автентифікація. «Мета полягає в тому, щоб зробити транзакції безпечнішими без шкоди для клієнтського досвіду. Це вимагає балансу між захистом та зручністю використання, що фінансовий сектор удосконалює останніми роками», – наголошує він.
Але чому ця зміна така важлива? Не буде перебільшенням сказати, що цифрове шахрайство стає дедалі складнішим. Витік даних може призвести до мільйонних втрат та непоправної шкоди довірі клієнтів.
Вагнер Еліас попереджає: «Багато компаній досі займають реактивну позицію, турбуючись про безпеку лише після того, як сталася атака. Така поведінка викликає занепокоєння, оскільки порушення безпеки можуть призвести до значних фінансових втрат та непоправної шкоди репутації організації, чого можна уникнути за допомогою превентивних заходів».
Він також наголошує, що для уникнення цих ризиків ключовою відмінністю є впровадження практик безпеки додатків з самого початку розробки нового додатку, що гарантує, що на кожному етапі циклу розробки програмного забезпечення вже впроваджені захисні заходи. Це гарантує включення захисних заходів на всіх етапах життєвого циклу програмного забезпечення, що робить його набагато економічнішим, ніж усунення збитків після інциденту.
Варто пам’ятати, що це зростаюча тенденція в усьому світі. За даними Mordor Intelligence, ринок безпеки додатків, який у 2024 році приніс 11,62 мільярда доларів США, як очікується, досягне 25,92 мільярда доларів США до 2029 року.
Вагнер пояснює, що такі рішення, як DevOps, дозволяють розробляти кожен рядок коду з використанням практик захисту, а також таких послуг, як тестування на проникнення та зменшення вразливостей. «Виконання постійного аналізу безпеки та автоматизації тестування дозволяє компаніям дотримуватися стандартів без шкоди для ефективності», – наголошує він.
Крім того, у цьому процесі важливу роль відіграють спеціалізовані консалтингові фірми, які допомагають компаніям адаптуватися до нових вимог PCI DSS 4.0. «Серед найбільш затребуваних послуг – тестування на проникнення, тестування Red Team та оцінки безпеки сторонніми організаціями, які допомагають виявляти та виправляти вразливості, перш ніж ними зможуть скористатися злочинці», – каже він.
Зі зростанням складності цифрового шахрайства ігнорування безпеки даних більше не є варіантом. «Компанії, які інвестують у превентивні заходи, забезпечують захист своїх клієнтів та зміцнюють свої позиції на ринку. Впровадження нових рекомендацій є, перш за все, важливим кроком у створенні безпечнішого та надійнішого платіжного середовища», – підсумовує він.
