デジタルセキュリティは新しいルールを獲得したばかりであり、カードのデータを処理する企業は適応する必要があります。 PCIセキュリティ基準委員会(PCI SSC)が制定したカード支払い業界データセキュリティ標準(PCI DSS)のバージョン4.0の導入に伴い、変更は重要であり、顧客のデータ保護や支払いデータの保存、処理、伝送方法に直接影響します。 しかし、結局何が本当に変わるのか?
主な変更点は、より高いレベルのデジタルセキュリティの必要性です。 企業は、堅牢な暗号化や多要素認証などの先進技術に投資しなければなりません。 この方法は、システム、アプリケーション、または取引へのアクセスを許可する前に、少なくとも二つの検証要素を必要とし、犯罪者がパスワードや個人情報にアクセスしていても侵入を困難にします。
使用される認証要素には次のものがあります
- ユーザーが知っていることパスワード、PIN、またはセキュリティ質問の回答
- ユーザーが持っているもの物理トークン、確認コード付きのSMS、認証アプリ(Google Authenticatorなど)、またはデジタル証明書。
- ユーザーが何かであることデジタル生体認証、顔認証、音声認識、または虹彩認証。
「これらの保護層は、不正アクセスをはるかに困難にし、機密データの安全性を高めます」と説明しています。
要するに、顧客のデータ保護を強化し、未承認のアクセスを防ぐための追加措置を実施する必要があります」と、アプリケーションセキュリティソリューションの開発会社であるConvisoのCEO、ワグナー・エリアスは説明しています。 「必要になったときに適応する」のではなく、「予防的に行動する」ことが重要だと強調しています。
新しい規則に従い、実施は2つの段階で行われます。最初の段階は13の新しい要件で、締め切りは2024年3月でした。 次の段階であるより厳しいフェーズには、追加の51の要件が含まれており、2025年3月31日までに完了する必要があります。 つまり、準備しなかった人は厳しい罰則に直面する可能性があります。
新しい要件に適応するために、いくつかの主要な措置には次のようなものがあります:実施するファイアウォール堅牢な保護システムを導入し、データの送信と保存に暗号化を使用し、アクセスや疑わしい活動を継続的に監視・追跡し、脆弱性を特定するためにプロセスとシステムを絶えずテストし、厳格な情報セキュリティポリシーを策定・維持する。
ワグナーは、実際には、カードによる支払いを扱うすべての企業が、そのデジタルセキュリティの構造を見直す必要があることを強調しています。 これには、システムの更新、内部方針の強化、リスクを最小限に抑えるためのチームのトレーニングが含まれます。 例えば、eコマースは顧客のデータがエンドツーエンドで暗号化され、許可されたユーザーだけが機密情報にアクセスできることを保証する必要があります。一方、小売ネットワークは、不正行為やデータ漏洩の可能性を継続的に監視する仕組みを導入しなければなりません。
銀行やフィンテックも、バイオメトリクスや多要素認証などの技術の利用を拡大し、認証メカニズムを強化する必要があります。 目的は、顧客の体験を損なうことなく取引をより安全にすることです。これは、保護と使いやすさのバランスを取る必要があり、金融業界はここ数年でこれを改善してきました」と強調しています。
しかし、なぜこの変化がそんなに重要なのですか。 デジタル詐欺はますます巧妙になっていると言っても過言ではありません。 データ漏洩は、数百万ドルの損失や顧客の信頼の取り返しのつかない損害を引き起こす可能性があります。
ヴァグナー・エリアスは警告します:「多くの企業は依然として受動的な姿勢を取り、攻撃が起こった後に安全性を気にするだけです。この行動は懸念されるものであり、安全上の欠陥は巨額の経済的損失や組織の評判に取り返しのつかないダメージをもたらす可能性があり、予防措置によって防ぐことができたでしょう。」
また、これらのリスクを回避するための大きなポイントは、新しいアプリケーションの開発の最初からアプリケーションセキュリティの実践を採用し、ソフトウェアの開発サイクルの各段階で保護策を講じることだと強調しています。 これにより、ソフトウェアのライフサイクルのすべての段階で保護措置を導入することが保証され、事故後に被害を修復するよりもはるかに経済的です。
これは世界中で拡大している傾向であることを覚えておく価値がある。 アプリケーションセキュリティ市場は、2024年に116億2000万ドルの規模で、2029年までに259億2000万ドルに達すると、モルドールインテリジェンスによると予測されています。
ワグナーは、DevOpsのようなソリューションが、各コード行を保護の実践とともに開発できるようにし、侵入テストや脆弱性の緩和などのサービスも提供していると説明しています。 継続的なセキュリティ分析とテスト自動化を実施することで、企業は効率を犠牲にすることなく規制を遵守できると強調しています。
さらに、専門のコンサルティングはこのプロセスにおいて重要であり、企業がPCI DSS 4.0の新しい要件に適応するのを支援します。 最も求められるサービスには、ペネトレーションテスト、レッドチーム、サードパーティのセキュリティ評価があり、これらは犯罪者に悪用される前に脆弱性を特定し修正するのに役立ちます、と彼は語っています。
ますます高度化するデジタル詐欺に伴い、データのセキュリティを無視することはもはや選択肢ではありません。 予防策に投資する企業は、顧客の保護を確保し、市場での地位を強化します。新しいガイドラインを実施することは、何よりも安全で信頼できる支払い環境を構築するための重要な一歩です、と締めくくります。
