クレジットカードが主要な支払い方法の一つであり、デジタルデータが現金と同等の価値を持つブラジルでは、オンライン詐欺のリスクがますます高まっており、消費者と企業は特別な注意を払う必要があります。
問題の規模を理解するために、ブラジル人の4人に1人が既に詐欺や金融詐欺の被害に遭っており、これはブラジル人の42%にあたります。 データは「デジタルアイデンティティと詐欺2024レポート」に基づいており、セラサ・エクスペリアンによる調査です。
別の調査、今回は全国小売業者連盟(CNDL)と信用保護サービス(SPC Brasil)がSebraeと提携して行ったもので、過去12か月間に約840万人の消費者が金融機関での詐欺を報告したことを示しています。 詐欺の中で、クレジットカードとデビットカードのクローン作成が最も一般的な詐欺の種類です。
セラサによると、約70%のブラジル人が3枚以上のカードを所有しているにもかかわらず、リスクの認識は依然として低いです。 約69%のブラジル人は、金融データをサイトやアプリに登録する危険性を過小評価し続けており、そのため多くの人々がデジタル詐欺やサイバー攻撃にさらされている。
デジタルセキュリティに関する警戒が高まる中、良いニュースが浮上しています:新しい取り組みや技術の進歩により、オンライン環境は日々より安全になっています。
最近、PCIセキュリティスタンダード評議会(PCI SSC)は、支払いデータを保存、処理、または送信する企業や、取引に使用されるソフトウェアやデバイスの開発者およびメーカーに適用されるセキュリティ基準の継続的な開発と改善のための新しいガイドラインを提案しました。 PCIは、グローバルな組織であり、安全な取引のためのリソースの利用促進を目的とした支払い業界の主要な関係者を集めています。
「脅威とテクノロジーが進化するにつれ、PCI DSS 標準も更新されます。したがって、今すぐ新しい要件を認識し、必要な調整を行う必要があります」と、アプリケーション セキュリティ ソリューションの開発会社 Conviso の CEO、Wagner Elias 氏は警告しています。
更新には、カード支払いのバリューチェーン全体を保護するために作成されたカード支払い業界データセキュリティ標準(PCI DSS)の改訂も含まれています。 あなたのコンプライアンス要件は、カード所有者のデータ保存から機密支払い情報へのアクセスのセキュリティまでをカバーしています。
「要するに、顧客データの保護を強化し、不正アクセスを防ぐための追加対策を実施する必要がある」と専門家は言う。
したがって、企業は適応し、新しい技術に投資する必要があります。 参考までに、これらのソリューションの中には、各アプリケーションに関連するリスクを包括的に把握できるものもあります。 これらのツールはさまざまなシステムを統合し、情報を集中化し、行動の優先順位付けを支援します。すべては継続的に行われますと、ConvisoのCEOは2010年にリリースされたConviso Platform Application Security Posture Management(ASPM)について説明しています。
しかし、専門家は、多くの企業が依然としてシステムのセキュリティに対して受動的な姿勢を取り、攻撃を受けた後にのみこの問題を優先していることを指摘している。 この行動は彼によると懸念されるものであり、セキュリティの欠陥は大きな財務損失や組織の評判に取り返しのつかないダメージをもたらす可能性があり、予防措置によって防ぐことができる。
彼にとって、新しいソフトウェアの作成を検討する際に、企業が開発サイクルの各段階でセキュリティを組み込むことが不可欠であり、要件定義(アプリが何を行うかを分析する最初の段階)からデプロイ(本番および最終納品)まで含まれる。
「これらのリスクを回避するには、新しいアプリケーションの開発の最初からアプリケーション セキュリティ プラクティスを採用することが重要です。これにより、ソフトウェア ライフサイクルのすべての段階で保護対策が確実に実装されます。インシデント発生後に被害を修復するよりもコスト効率が大幅に高いことに加え、予防的なセキュリティに投資する方がはるかに効果的です。これにより、攻撃を防ぎ、機密データを保護し、法律やガイドラインに準拠し、最初からユーザーにとってアプリケーションが安全で信頼できるものになることを保証できます」と専門家は述べています。
ワグナーは、同社がセキュリティをDevOpsに統合したソリューションを開発しており、各コード行が保護の実践とともに開発されることを可能にしていると説明しています。また、侵入テストや脆弱性の緩和などのサービスも提供しています。 ワグナーは、「継続的なセキュリティ分析とテストの自動化を実施することで、企業は効率を犠牲にすることなく規制を遵守できる」と強調しています。
堅牢な技術の導入に加えて、ConvisoのCEOは、企業がPCI DSS 4.0やその他の規制の要件に適応するのを支援する専門コンサルティングの重要性を強調しています。 侵入テスト、レッドチーム、サードパーティのセキュリティ評価などの攻撃的なサービスは、積極的で包括的なセキュリティアプローチを促進し、脆弱性が悪用される前に特定して修正します。
投資を加速させる必要がある
このデジタルセキュリティの変革は、安全なオンライン環境に対する消費者の信頼を強化するだけでなく、アプリケーションセキュリティ市場の急速な成長も伴います。Mordor Intelligenceによると、2024年の116.2億ドルから2029年までに259.2億ドルに拡大する見込みです。 最先端の技術を導入することは、デジタル保護の転換点を示し、繁栄するためにこれまで以上に安全性に依存している市場での信頼を強化すると、ワグナーは締めくくった。
4.0 コンプライアンス チェックが満たす必要がある 12 の PCI DSS 要件のリストを確認してください。
- ファイアウォールをインストールして維持する
- ベンダーのデフォルト設定を削除する
- 保存されたカード会員データを保護する
- 支払いデータの送信を暗号化する
- ウイルス対策ソフトウェアを定期的に更新する
- 安全なシステムとアプリケーションを導入する
- 必要に応じてカード会員データへのアクセスを制限する
- ユーザーアクセスIDの割り当て
- データへの物理的なアクセスを制限する
- ネットワークアクセスを追跡および監視する
- プロセスとシステムの脆弱性を継続的にテストする
- 情報セキュリティポリシーの作成と維持
PCI DSS 4.0 ガイドラインの実装は 2 つのフェーズで行われます。
- 13の新しい要件を含む第1段階の期限は2024年3月31日でした。
- 51の追加要件を含む第2フェーズは、2025年3月31日までに実施する必要があります。
