La sicurezza digitale ha appena adottato nuove regole e le aziende che elaborano dati delle carte devono adattarsi. Con l'arrivo della versione 4.0 dello Standard di Sicurezza dei Dati del Settore dei Pagamenti con Carta (PCI DSS), stabilito dal PCI Security Standards Council (PCI SSC), le modifiche sono significative e influenzano direttamente la protezione dei dati dei clienti e come i dati di pagamento vengono memorizzati, elaborati e trasmessi. Ma, alla fine, cosa cambia davvero?
La principale modifica è la necessità di un livello ancora più alto di sicurezza digitale. Le aziende dovranno investire in tecnologie avanzate, come crittografia robusta e autenticazione multifattoriale. Questo metodo richiede almeno due fattori di verifica per confermare l'identità dell'utente prima di concedere l'accesso a sistemi, applicazioni o transazioni, rendendo più difficile le intrusioni, anche se i criminali hanno accesso a password o dati personali.
Tra i fattori di autenticazione utilizzati ci sono
- Qualcosa che l'utente sapassword, PIN o risposte alle domande di sicurezza
- Qualcosa che l'utente possiedetoken fisici, SMS con codici di verifica, applicazioni autenticatrici (come Google Authenticator) o certificati digitali.
- Qualcosa che l'utente èbiometria digitale, facciale, riconoscimento vocale o iride.
"Questi strati di protezione rendono l'accesso non autorizzato molto più difficile e garantiscono una maggiore sicurezza per i dati sensibili", spiega.
In breve, è necessario rafforzare la protezione dei dati dei clienti, implementando misure aggiuntive per prevenire accessi non autorizzati", spiega Wagner Elias, CEO di Conviso, sviluppatore di soluzioni per la sicurezza delle applicazioni. Non è più una questione di "adattarsi quando sarà necessario", ma di agire preventivamente, sottolinea.
Secondo le nuove regole, l'implementazione avviene in due fasi: la prima, con 13 nuovi requisiti, aveva il termine finale a marzo 2024. La seconda fase, più impegnativa, include 51 requisiti aggiuntivi e dovrebbe essere completata entro il 31 marzo 2025. Cioè, chi non si prepara può affrontare sanzioni severe.
Per adattarsi alle nuove esigenze, alcune delle azioni principali includono: implementarefirewalle sistemi di protezione robusti; utilizzare la crittografia nella trasmissione e nell'archiviazione dei dati; monitorare e tracciare continuamente gli accessi e le attività sospette; testare costantemente processi e sistemi per identificare vulnerabilità; creare e mantenere una politica rigorosa di sicurezza delle informazioni.
Wagner sottolinea che, nella pratica, ciò significa che qualsiasi azienda che gestisce pagamenti con carta dovrà rivedere tutta la sua struttura di sicurezza digitale. Ciò comporta l'aggiornamento dei sistemi, il rafforzamento delle politiche interne e la formazione dei team per minimizzare i rischi. Ad esempio, un e-commerce dovrà garantire che i dati dei clienti siano crittografati end-to-end e che solo gli utenti autorizzati abbiano accesso alle informazioni sensibili. Una rete di vendita al dettaglio dovrà invece implementare meccanismi per monitorare continuamente possibili tentativi di frode e fughe di dati, spiega.
Anche le banche e le fintech dovranno rafforzare i loro meccanismi di autenticazione, ampliando l'uso di tecnologie come la biometria e l'autenticazione multifattoriale. L'obiettivo è rendere le transazioni più sicure senza compromettere l'esperienza del cliente. Ciò richiede un equilibrio tra protezione e usabilità, qualcosa che il settore finanziario ha già migliorato negli ultimi anni, sottolinea.
Ma, perché questo cambiamento è così importante? Non è esagerato dire che le frodi digitali sono sempre più sofisticate. Le violazioni dei dati possono comportare perdite milionarie e danni irreparabili alla fiducia dei clienti.
Wagner Elias avverte: «molte aziende adottano ancora un atteggiamento reattivo, preoccupandosi della sicurezza solo dopo che si verifica un attacco. Questo comportamento è preoccupante, poiché le falle di sicurezza possono comportare perdite finanziarie significative e danni irreparabili alla reputazione dell'organizzazione, che potrebbero essere evitati con misure preventive».
Egli sottolinea inoltre che per evitare questi rischi, il grande elemento distintivo è adottare pratiche di Sicurezza delle Applicazioni fin dall'inizio dello sviluppo della nuova applicazione, garantendo che ogni fase del ciclo di sviluppo del software abbia già misure di protezione. Questo garantisce l'inserimento di misure di protezione in tutte le fasi del ciclo di vita del software, risultando molto più economico che rimediare ai danni dopo un incidente.
È importante ricordare che questa è una tendenza in crescita in tutto il mondo. Il mercato della sicurezza delle applicazioni, che movimenta 11,62 miliardi di dollari nel 2024, dovrebbe raggiungere i 25,92 miliardi di dollari entro il 2029, secondo Mordor Intelligence.
Wagner spiega che soluzioni come DevOps consentono che ogni riga di codice venga sviluppata con pratiche di protezione, oltre a servizi come test di intrusione e mitigazione delle vulnerabilità. Eseguire analisi continue di sicurezza e automazione dei test consente alle aziende di rispettare le norme senza compromettere l'efficienza, sottolinea.
Inoltre, le consulenze specializzate sono importanti in questo processo, aiutando le aziende ad adattarsi alle nuove esigenze del PCI DSS 4.0. Tra i servizi più richiesti ci sono Penetration Testing, Red Team e valutazioni di sicurezza di terzi, che aiutano a identificare e correggere vulnerabilità prima che possano essere sfruttate dai criminali, racconta.
Con frodi digitali sempre più sofisticate, ignorare la sicurezza dei dati non è più un'opzione. Le aziende che investono in misure preventive garantiscono la protezione dei loro clienti e rafforzano la loro posizione sul mercato. Implementare le nuove linee guida è, prima di tutto, un passo essenziale per costruire un ambiente di pagamenti più sicuro e affidabile, conclude.
