In Brasile, dove la carta di credito è uno dei principali metodi di pagamento e i dati digitali hanno un valore paragonabile a quello del denaro contante, i rischi delle frodi online diventano sempre più presenti, richiedendo accentuata attenzione dei consumatori e delle imprese
Per darsi un'idea della dimensione del problema, quattro su ogni dieci brasiliani sono già stati vittime di truffe e frodi finanziarie nel paese, il che rappresenta 42% dei brasiliani. I dati sono del ⁇ Relazione di identità digitale e frode 2024 ⁇, un rilevamento fatto dal Serasa Experian
Un altro studio, ora della Confederazione Nazionale di Dirigenti Lojista (CNDL) e del Servizio di Protezione al Credito (SPC Brasil), in partenariato con il Sebrae, mostra che circa di 8,4 milioni di consumatori hanno segnalato frodi in istituzioni finanziarie negli ultimi 12 mesi. Tra i colpi, la clonazione di carte di credito e debiti figura come il principale tipo di frode.
Mentre approssimativamente 70% dei brasiliani possiedono tre o più carte, come punta la Serasa, la percezione di rischio è ancora bassa. Circa il 69% dei brasiliani continuano a sottovalutare il pericolo di registrare dati finanziari in siti e applicazioni, il che lascia una enorme porzione della popolazione esposta a truffe digitali e attacchi cibernetici.
In mezzo alla crescente allerta sulla sicurezza digitale, buone notizie emergono: nuove iniziative e progressi tecnologici stanno rendendo l'ambiente online più sicuro ogni giorno.
Recentemente, il PCI Security Standards Council (PCI SSC) ha proposto nuove direttive per il continuo sviluppo e miglioramento degli standard di sicurezza, applicabili ad imprese che memorizzano, elaborano o trasmettono dati di pagamento, nonché a sviluppatori e produttori di software e dispositivi usati nelle transazioni. L PCI è un'organizzazione globale, che riunisce i principali attori dell'industria dei pagamenti per spingere l'uso di risorse per transazioni sicure.
⁇ Man mano che le minacce e la tecnologia evolvono, gli standard PCI DSS anche si aggiornano. Così, è necessario stare attenti, ora, alle nuove esigenze e realizzare gli adeguamenti necessari ⁇, Wagner avverte Elias, CEO di Conviso, sviluppatrice di soluzione per sicurezza di applicazioni
Tra gli aggiornamenti sono quelle dello Standard di Sicurezza dei Dati dell'Industria delle Carte di Pagamento (PCI DSS), creato per proteggere tutta la catena di valore dei pagamenti con carta. I suoi requisiti di conformità riguardano dalla memorizzazione di dati dei titolari di carta alla sicurezza nell'accesso a informazioni sensibili di pagamento
⁇ Semplicemente, è necessario rafforzare la protezione dei dati dei clienti, implementando misure aggiuntive per prevenire accessi non autorizzati ⁇, dice lo specialista
Così, le imprese dovranno adattarsi e investire in nuove tecnologie. Per avere un'idea, alcune di queste soluzioni sono capaci di fornire una visione completa dei rischi relativi a ciascuna applicazione. ⁇ Questi strumenti integrano diversi sistemi, centralizzando informazioni e assistendo nella prioritizzazione delle azioni, tutto in modo continuativo ⁇, spiega il CEO della Conviso, sulla sua piattaforma Conviso Platform Application Security Posture Management (ASPM), lanciata nel 2010
Tuttavia, l'esperto sottolinea che molte aziende adottano ancora una posizione reattiva nei confronti della sicurezza dei loro sistemi, solo dando priorità al tema dopo aver subito un attacco. Questo comportamento, secondo lui, è preoccupante, poiché carenze di sicurezza possono comportare pregiudizi finanziari significativi e danni irreparabili alla reputazione dell'organizzazione, che potrebbero essere evitati con misure preventive
Per lui, quando considera la creazione di un nuovo software, è essenziale che l'azienda incorpori la sicurezza in ogni fase del ciclo di creazione, andando dal rilevamento di requisiti (prima fase che analizza che cosa l'app realizzerà) fino al deploy (produzione e consegna finale).
⁇ Per evitare questi rischi, il grande differenziale è adottare pratiche di Application Security (Sicurezza d'Applicazioni) fin dall'inizio dello sviluppo della nuova applicazione. Questo garantisce l'inserimento di misure di protezione in tutte le fasi del ciclo di vita del software. Oltre a essere significativamente più economico che rimediare ai danni dopo un incidente, investire nella sicurezza preventiva è molto più efficace. Questo consente di prevenire attacchi, proteggere dati sensibili, assicurare la conformità con leggi e linee guida, e garantire che l'applicazione sia sicura e affidabile per gli utenti fin dall'inizio, dice lo specialista
Wagner spiega che l'azienda sviluppa soluzioni che integrano la sicurezza nel DevOps, consentendo che ogni riga di codice sia sviluppata con pratiche di protezione, oltre a servizi come test di intrusione e mitigazione delle vulnerabilità. “Eseguire analisi continue di sicurezza e automazione dei test consente alle aziende di rispettare le normative senza compromettere l'efficienza”, mette in evidenza Wagner
Oltre all'implementazione di tecnologie robuste, Il CEO di Conviso sottolinea l'importanza delle consulenze specializzate, che aiutano le aziende ad adattarsi ai requisiti del PCI DSS 4.0 e altre regolamentazioni. Servizi offensivi come il Penetration Testing, Il Red Team e le valutazioni di sicurezza di terzi promuovono un approccio alla sicurezza proattivo e completo, identificando e correggendo vulnerabilità prima che possano essere sfruttate.
Gli investimenti devono accelerare
Questa trasformazione nella sicurezza digitale non solo rafforza la fiducia dei consumatori in un ambiente online sicuro, come accompagna anche la crescita accelerata del mercato della sicurezza delle applicazioni, che deve espandere da 11 USD,62 miliardi nel 2024 per 25 dollari,92 miliardi entro il 2029, secondo a Mordor Intelligence. Implementare tecnologie all'avanguardia segna una svolta nella protezione digitale e rafforza la fiducia in un mercato che dipende, più che mai, di sicurezza per prosperare, conclude Wagner.
Controlla l'elenco dei 12 requisiti del PCI DSS che la verifica di conformità 4.0 deve soddisfare
- Installare e mantenere un firewall
- Elimina la configurazione predefinita del fornitore
- Proteggere i dati dei titolari di carta memorizzati
- Criptare la trasmissione dei dati di pagamento
- Aggiorna regolarmente il tuo software antivirus
- Distribuisci sistemi e applicazioni sicuri
- Limitare l'accesso ai dati del titolare della carta secondo necessità
- Assegna ID di accesso utente
- Limitare l'accesso fisico ai dati
- Traccia e monitora l'accesso alla rete
- Testare continuamente i processi e i sistemi per individuare le vulnerabilità
- Creare e mantenere una politica di sicurezza informatica
L'implementazione delle linee guida del PCI DSS 4.0 è in fase di realizzazione in due fasi
- La prima fase, con 13 nuovi requisiti, aveva come termine finale il 31 marzo 2024
- La seconda fase, con 51 requisiti aggiuntivi, deve essere implementata entro il 31 marzo 2025
