La sicurezza digitale ha appena introdotto nuove regole e le aziende che elaborano i dati delle carte devono adattarsi. Con l'arrivo della versione 4.0 del Payment Card Industry Data Security Standard (PCI DSS), stabilito dal PCI Security Standards Council (PCI SSC), i cambiamenti sono significativi e hanno un impatto diretto sulla protezione dei dati dei clienti e sulle modalità di archiviazione, elaborazione e trasmissione dei dati di pagamento. Ma cosa cambia davvero?
Il cambiamento principale è la necessità di un livello di sicurezza digitale ancora più elevato. Le aziende dovranno investire in tecnologie avanzate come la crittografia avanzata e l'autenticazione a più fattori. Questo metodo richiede almeno due fattori di verifica per confermare l'identità di un utente prima di concedere l'accesso a sistemi, applicazioni o transazioni, rendendo più difficile l'hacking, anche se i criminali ottengono l'accesso a password o dati personali.
Tra i fattori di autenticazione utilizzati ci sono:
- Qualcosa che l'utente conosce : password, PIN o risposte a domande di sicurezza.
- Qualcosa che l'utente possiede : token fisici, SMS con codici di verifica, app di autenticazione (come Google Authenticator) o certificati digitali.
- Qualcosa che l'utente è : riconoscimento biometrico digitale, facciale, vocale o dell'iride.
"Questi livelli di protezione rendono molto più difficile l'accesso non autorizzato e garantiscono una maggiore sicurezza dei dati sensibili", spiega.
"In breve, dobbiamo rafforzare la protezione dei dati dei clienti implementando misure aggiuntive per prevenire accessi non autorizzati", spiega Wagner Elias, CEO di Conviso, azienda sviluppatrice di soluzioni per la sicurezza delle applicazioni. "Non si tratta più di 'adattarsi quando necessario', ma di agire preventivamente", sottolinea.
Secondo le nuove norme, l'attuazione avviene in due fasi: la prima, con 13 nuovi requisiti, aveva una scadenza a marzo 2024. La seconda fase, più impegnativa, include 51 requisiti aggiuntivi e deve essere soddisfatta entro il 31 marzo 2025. In altre parole, chi non si prepara potrebbe incorrere in gravi sanzioni.
Per adattarsi ai nuovi requisiti, alcune delle azioni chiave includono: l'implementazione di firewall e sistemi di protezione robusti; l'utilizzo della crittografia nella trasmissione e nell'archiviazione dei dati; il monitoraggio e il tracciamento continui di accessi e attività sospetti; il test costante di processi e sistemi per identificare le vulnerabilità; e la creazione e il mantenimento di una rigorosa politica di sicurezza delle informazioni.
Wagner sottolinea che, in pratica, ciò significa che qualsiasi azienda che gestisce pagamenti con carta dovrà rivedere l'intera struttura di sicurezza digitale. Ciò implica l'aggiornamento dei sistemi, il rafforzamento delle policy interne e la formazione dei team per ridurre al minimo i rischi. "Ad esempio, un'azienda di e-commerce dovrà garantire che i dati dei clienti siano crittografati end-to-end e che solo gli utenti autorizzati abbiano accesso alle informazioni sensibili. Una catena di vendita al dettaglio, d'altra parte, dovrà implementare meccanismi di monitoraggio continuo per possibili tentativi di frode e fughe di dati", spiega.
Anche banche e fintech dovranno rafforzare i propri meccanismi di autenticazione, ampliando l'uso di tecnologie come la biometria e l'autenticazione multifattoriale. "L'obiettivo è rendere le transazioni più sicure senza compromettere l'esperienza del cliente. Ciò richiede un equilibrio tra protezione e usabilità, un aspetto che il settore finanziario ha migliorato negli ultimi anni", sottolinea.
Ma perché questo cambiamento è così importante? Non è esagerato affermare che le frodi digitali stanno diventando sempre più sofisticate. Le violazioni dei dati possono causare perdite per milioni di dollari e danni irreparabili alla fiducia dei clienti.
Wagner Elias avverte: "Molte aziende adottano ancora un approccio reattivo, preoccupandosi della sicurezza solo dopo che si è verificato un attacco. Questo comportamento è preoccupante, poiché le violazioni della sicurezza possono comportare perdite finanziarie significative e danni irreparabili alla reputazione dell'organizzazione, che potrebbero essere evitati con misure preventive".
Sottolinea inoltre che per evitare questi rischi, la chiave è adottare pratiche di sicurezza applicativa fin dall'inizio dello sviluppo di una nuova applicazione, assicurandosi che ogni fase del ciclo di sviluppo del software disponga già di misure di protezione. Ciò garantisce che le misure di protezione siano implementate in tutte le fasi del ciclo di vita del software, il che è molto più conveniente rispetto alla riparazione dei danni dopo un incidente.
Vale la pena notare che si tratta di un trend in crescita a livello mondiale. Secondo Mordor Intelligence, il mercato della sicurezza delle applicazioni, che nel 2024 valeva 11,62 miliardi di dollari, dovrebbe raggiungere i 25,92 miliardi di dollari entro il 2029.
Wagner spiega che soluzioni come DevOps consentono di sviluppare ogni riga di codice con pratiche sicure, oltre a servizi come penetration test e mitigazione delle vulnerabilità. "Condurre analisi di sicurezza continue e automatizzare i test consente alle aziende di conformarsi alle normative senza compromettere l'efficienza", sottolinea.
Inoltre, in questo processo sono fondamentali i servizi di consulenza specializzati, che aiutano le aziende ad adattarsi ai nuovi requisiti PCI DSS 4.0. "Tra i servizi più richiesti ci sono Penetration Testing, Red Team e valutazioni di sicurezza di terze parti, che aiutano a identificare e correggere le vulnerabilità prima che possano essere sfruttate dai criminali", spiega.
Con le frodi digitali sempre più sofisticate, ignorare la sicurezza dei dati non è più un'opzione. "Le aziende che investono in misure preventive garantiscono la protezione dei propri clienti e rafforzano la propria posizione sul mercato. L'implementazione delle nuove linee guida è, soprattutto, un passo essenziale verso la creazione di un ambiente di pagamento più sicuro e affidabile", conclude.
