Сандық қауіпсіздік жаңа ережелерге ие болды және карта деректерін өңдейтін компаниялар бейімделуі керек. PCI қауіпсіздік стандарттары кеңесі (PCI SSC) белгілеген Төлем картасы индустриясының деректер қауіпсіздігі стандартының (PCI DSS) 4.0 нұсқасының келуімен өзгерістер маңызды болды және тұтынушы деректерін қорғауға және төлем деректерінің сақталуына, өңделуіне және жіберілуіне тікелей әсер етеді. Бірақ шын мәнінде не өзгереді?
Негізгі өзгеріс – цифрлық қауіпсіздіктің одан да жоғары деңгейіне деген қажеттілік. Компаниялар сенімді шифрлау және көп факторлы аутентификация сияқты озық технологияларға инвестиция салуы керек. Бұл әдіс жүйеге, қолданбаларға немесе транзакцияларға рұқсат бермес бұрын пайдаланушының жеке басын растау үшін кемінде екі тексеру факторын қажет етеді, тіпті қылмыскерлер құпия сөздерге немесе жеке деректерге қол жеткізсе де, бұзуды қиындатады.
Қолданылатын аутентификация факторларының ішінде:
- Пайдаланушы білетін нәрсе : құпия сөздер, PIN кодтар немесе қауіпсіздік сұрақтарына жауаптар.
- Пайдаланушыда бар нәрсе : физикалық белгілер, растау кодтары бар SMS, аутентификация қолданбалары (мысалы, Google Authenticator) немесе сандық сертификаттар.
- Пайдаланушы бір нәрсе : сандық, бет-әлпет, дауыс немесе иристі тану биометриясы.
«Бұл қорғаныс қабаттары рұқсат етілмеген қол жеткізуді әлдеқайда қиындатады және құпия деректер үшін үлкен қауіпсіздікті қамтамасыз етеді», - деп түсіндіреді ол.
«Қысқаша айтқанда, біз рұқсат етілмеген қол жеткізуді болдырмау үшін қосымша шараларды жүзеге асыру арқылы тұтынушы деректерін қорғауды күшейтуіміз керек», - деп түсіндіреді Вагнер Элиас, Conviso компаниясының бас директоры, қолданбалы қауіпсіздік шешімдерін әзірлеуші. «Енді бұл «қажет болған кезде бейімделу» мәселесі емес, алдын алу шаралары», - деп атап көрсетеді ол.
Жаңа ережелерге сәйкес, іске асыру екі кезеңде жүзеге асырылады: бірінші, 13 жаңа талап, 2024 жылдың наурыз айына дейін аяқталды. Екінші, неғұрлым талап етілетін кезең 51 қосымша талапты қамтиды және 2025 жылдың 31 наурызына дейін орындалуы керек. Басқаша айтқанда, дайындалмағандар қатаң жазаға тартылуы мүмкін.
Жаңа талаптарға бейімделу үшін кейбір негізгі әрекеттерге мыналар жатады: желіаралық қалқандар мен сенімді қорғаныс жүйелерін енгізу; деректерді беру мен сақтауда шифрлауды қолдану; күдікті қол жеткізу мен әрекетті үздіксіз бақылау және қадағалау; осалдықтарды анықтау үшін процестер мен жүйелерді үнемі тестілеу; және қатаң ақпараттық қауіпсіздік саясатын құру және қолдау.
Вагнер іс жүзінде бұл карточкалық төлемдермен айналысатын кез келген компания өзінің барлық цифрлық қауіпсіздік құрылымын қайта қарауы қажет дегенді білдіреді. Бұл тәуекелдерді азайту үшін жүйелерді жаңартуды, ішкі саясатты күшейтуді және командаларды оқытуды қамтиды. "Мысалы, электрондық коммерция компаниясы тұтынушы деректерінің шифрланғанын және құпия ақпаратқа тек рұқсаты бар пайдаланушылардың қол жеткізуін қамтамасыз етуі керек. Екінші жағынан, бөлшек сауда желісі ықтимал алаяқтық әрекеттері мен деректердің ағып кетуін үнемі бақылау механизмдерін енгізуі керек", - деп түсіндіреді ол.
Банктер мен финтехтер биометрия және көп факторлы аутентификация сияқты технологияларды қолдануды кеңейте отырып, аутентификация механизмдерін күшейтуі керек. "Мақсат - тұтынушылардың тәжірибесіне нұқсан келтірместен транзакцияларды қауіпсіз ету. Бұл қорғау мен пайдалану арасындағы тепе-теңдікті талап етеді, бұл қаржы секторы соңғы жылдары жақсарып келе жатқан нәрсе", - деп атап көрсетеді ол.
Бірақ бұл өзгеріс неге соншалықты маңызды? Сандық алаяқтық барған сайын жетілдіріліп келеді десек, артық айтқандық емес. Деректерді бұзу миллиондаған доллар шығынға және тұтынушылар сеніміне орны толмас зақым келтіруі мүмкін.
Вагнер Элиас ескертеді: "Көптеген компаниялар әлі де реактивті тәсілді қолданады, тек шабуыл жасалғаннан кейін ғана қауіпсіздік туралы алаңдайды. Бұл мінез-құлық алаңдатады, өйткені қауіпсіздіктің бұзылуы елеулі қаржылық шығындарға және ұйымның беделіне орны толмас нұқсан келтіруге әкелуі мүмкін, оны алдын алу шаралары арқылы болдырмауға болады."
Ол бұдан әрі бұл тәуекелдерді болдырмау үшін бағдарламалық қамтамасыз етуді әзірлеу циклінің әрбір фазасында қорғаныс шаралары бар екеніне көз жеткізіп, жаңа қолданбаны әзірлеудің басынан бастап Бағдарлама қауіпсіздігі тәжірибесін қабылдау маңызды екенін атап көрсетеді. Бұл бағдарламалық жасақтаманың өмірлік циклінің барлық кезеңдерінде қорғаныс шараларының жүзеге асырылуын қамтамасыз етеді, бұл оқиғадан кейін зақымдануды қалпына келтіруге қарағанда әлдеқайда үнемді».
Айта кетейік, бұл бүкіл әлемде өсіп келе жатқан үрдіс. Mordor Intelligence мәліметтері бойынша, 2024 жылы 11,62 миллиард долларға бағаланған қолданбалы қауіпсіздік нарығы 2029 жылға қарай 25,92 миллиард долларға жетеді деп күтілуде.
Вагнер DevOps сияқты шешімдер енуді тексеру және осалдықты азайту сияқты қызметтерге қоса, кодтың әрбір жолын қауіпсіз тәжірибелермен әзірлеуге мүмкіндік беретінін түсіндіреді. «Қауіпсіздікті үздіксіз талдау және сынақтарды автоматтандыру компанияларға тиімділікті төмендетпестен ережелерді сақтауға мүмкіндік береді», - деп атап көрсетеді ол.
Сонымен қатар, бұл процесте компанияларға жаңа PCI DSS 4.0 талаптарына бейімделуге көмектесетін арнайы консалтингтік қызметтер маңызды. «Ең көп сұранысқа ие қызметтер қатарына енуді тексеру, қызыл топ және үшінші тараптың қауіпсіздік бағалаулары жатады, олар қылмыскерлер пайдаланбас бұрын осалдықтарды анықтауға және түзетуге көмектеседі», - деп түсіндіреді ол.
Сандық алаяқтық барған сайын күрделене түсуде, деректер қауіпсіздігін елемеу енді опция емес. "Алдын алу шараларына инвестиция салатын компаниялар өз тұтынушыларын қорғауды қамтамасыз етеді және олардың нарықтағы позициясын нығайтады. Жаңа нұсқауларды енгізу, ең алдымен, қауіпсіз және сенімді төлемдер ортасын құру жолындағы маңызды қадам болып табылады", - деп қорытындылады ол.
