A digitális biztonság új szabályokat kapott, és a kártyaadatokat feldolgozó vállalatoknak alkalmazkodniuk kell. A PCI Biztonsági Szabványok Tanácsa (PCI SSC) által létrehozott Payment Card Industry Data Security Standard (PCI DSS) 4.0-s verziójának megjelenésével a változások jelentősek, és közvetlenül befolyásolják az ügyféladatok védelmét, valamint a fizetési adatok tárolásának, feldolgozásának és továbbításának módját. De mi változik valójában?
A fő változás a még magasabb szintű digitális biztonság iránti igény. A vállalatoknak olyan fejlett technológiákba kell befektetniük, mint a robusztus titkosítás és a többtényezős hitelesítés. Ez a módszer legalább két ellenőrzési tényezőt igényel a felhasználó személyazonosságának megerősítéséhez, mielőtt hozzáférést biztosítana a rendszerekhez, alkalmazásokhoz vagy tranzakciókhoz, ami megnehezíti a hackelést, még akkor is, ha a bűnözők hozzájutnak a jelszavakhoz vagy a személyes adatokhoz.
A használt hitelesítési tényezők között szerepelnek:
- Valami, amit a felhasználó tud : jelszavak, PIN-kódok vagy biztonsági kérdésekre adott válaszok.
- Valami, amivel a felhasználó rendelkezik : fizikai tokenek, ellenőrző kódokat tartalmazó SMS-ek, hitelesítő alkalmazások (például Google Authenticator) vagy digitális tanúsítványok.
- Valami, ami a felhasználó : digitális, arc-, hang- vagy íriszfelismerő biometrikus adatok.
„Ezek a védelmi rétegek sokkal megnehezítik a jogosulatlan hozzáférést, és nagyobb biztonságot nyújtanak az érzékeny adatok számára” – magyarázza.
„Röviden, meg kell erősítenünk az ügyféladatok védelmét további intézkedések bevezetésével a jogosulatlan hozzáférés megakadályozása érdekében” – magyarázza Wagner Elias, az alkalmazásbiztonsági megoldásokat fejlesztő Conviso vezérigazgatója. „Már nem arról van szó, hogy »szükség esetén alkalmazkodjunk«, hanem a megelőző intézkedésekről” – hangsúlyozza.
Az új szabályok értelmében a végrehajtás két szakaszban történik: az első, 13 új követelménnyel, 2024 márciusáig tartott. A második, szigorúbb szakasz 51 további követelményt tartalmaz, és 2025. március 31-ig kell teljesíteni. Más szóval, azok, akik nem készülnek fel, súlyos büntetésekre számíthatnak.
Az új követelményekhez való alkalmazkodás érdekében a legfontosabb intézkedések közé tartozik a tűzfalak és a robusztus védelmi rendszerek bevezetése; titkosítás használata az adatátvitelben és -tárolásban; a gyanús hozzáférések és tevékenységek folyamatos monitorozása és nyomon követése; a folyamatok és rendszerek folyamatos tesztelése a sebezhetőségek azonosítása érdekében; valamint szigorú információbiztonsági szabályzat létrehozása és fenntartása.
Wagner hangsúlyozza, hogy a gyakorlatban ez azt jelenti, hogy minden olyan vállalatnak, amely kártyás fizetéseket kezel, felül kell vizsgálnia teljes digitális biztonsági struktúráját. Ez magában foglalja a rendszerek korszerűsítését, a belső szabályzatok megerősítését és a csapatok képzését a kockázatok minimalizálása érdekében. „Például egy e-kereskedelmi vállalatnak biztosítania kell, hogy az ügyféladatok végponttól végpontig titkosítva legyenek, és hogy csak a jogosult felhasználók férhessenek hozzá az érzékeny információkhoz. Egy kiskereskedelmi láncnak ezzel szemben olyan mechanizmusokat kell bevezetnie, amelyek folyamatosan figyelemmel kísérik a lehetséges csalási kísérleteket és adatszivárgásokat” – magyarázza.
A bankoknak és a fintech vállalatoknak meg kell erősíteniük hitelesítési mechanizmusaikat is, bővítve az olyan technológiák használatát, mint a biometrikus azonosítás és a többtényezős hitelesítés. „A cél az, hogy a tranzakciókat biztonságosabbá tegyük az ügyfélélmény veszélyeztetése nélkül. Ehhez egyensúlyra van szükség a védelem és a használhatóság között, amit a pénzügyi szektor az elmúlt években fejlesztett” – hangsúlyozza.
De miért olyan fontos ez a változás? Nem túlzás azt állítani, hogy a digitális csalás egyre kifinomultabbá válik. Az adatvédelmi incidensek több millió dolláros veszteséget és helyrehozhatatlan károkat okozhatnak az ügyfelek bizalmában.
Wagner Elias figyelmeztet: „Sok vállalat még mindig reaktív megközelítést alkalmaz, és csak egy támadás után aggódik a biztonság miatt. Ez a viselkedés aggasztó, mivel a biztonsági incidensek jelentős pénzügyi veszteségekhez és a szervezet hírnevének helyrehozhatatlan kárához vezethetnek, ami megelőző intézkedésekkel elkerülhető lenne.”
Továbbá hangsúlyozza, hogy ezen kockázatok elkerülése érdekében a kulcs az alkalmazásbiztonsági gyakorlatok bevezetése az új alkalmazás fejlesztésének kezdetétől, biztosítva, hogy a szoftverfejlesztési ciklus minden fázisában már legyenek védelmi intézkedések. Ez biztosítja, hogy a védelmi intézkedések a szoftver életciklusának minden szakaszában megvalósuljanak, ami sokkal költséghatékonyabb, mint egy incidens utáni kárelhárítás."
Érdemes megjegyezni, hogy ez egy világszerte növekvő trend. A Mordor Intelligence szerint az alkalmazásbiztonsági piac, amelynek értékét 2024-ben 11,62 milliárd dollárra becsülték, várhatóan eléri a 25,92 milliárd dollárt 2029-re.
Wagner elmagyarázza, hogy az olyan megoldások, mint a DevOps, lehetővé teszik, hogy minden kódsort biztonságos gyakorlatokkal fejlesszenek, olyan szolgáltatások mellett, mint a penetrációs tesztelés és a sebezhetőségek mérséklése. „A folyamatos biztonsági elemzés és a tesztautomatizálás lehetővé teszi a vállalatok számára, hogy a hatékonyság feláldozása nélkül megfeleljenek a szabályozásoknak” – hangsúlyozza.
Továbbá a speciális tanácsadási szolgáltatások fontosak ebben a folyamatban, amelyek segítik a vállalatokat az új PCI DSS 4.0 követelményeihez való alkalmazkodásban. „A legkeresettebb szolgáltatások közé tartozik a behatolásvizsgálat, a Red Team és a harmadik féltől származó biztonsági értékelések, amelyek segítenek a sebezhetőségek azonosításában és kijavításában, mielőtt azokat a bűnözők kihasználhatnák” – magyarázza.
Mivel a digitális csalások egyre kifinomultabbá válnak, az adatbiztonság figyelmen kívül hagyása már nem lehetséges. „A megelőző intézkedésekbe befektető vállalatok biztosítják ügyfeleik védelmét és erősítik piaci pozíciójukat. Az új irányelvek végrehajtása mindenekelőtt elengedhetetlen lépés egy biztonságosabb és megbízhatóbb fizetési környezet kiépítése felé” – összegzi.
