សុវត្ថិភាពឌីជីថលទើបតែទទួលបានច្បាប់ថ្មី ហើយក្រុមហ៊ុនដែលដំណើរការទិន្នន័យកាតត្រូវតែសម្របខ្លួន។ ជាមួយនឹងការមកដល់នៃកំណែ 4.0 នៃស្តង់ដារសុវត្ថិភាពទិន្នន័យឧស្សាហកម្មកាតទូទាត់ (PCI DSS) ដែលបង្កើតឡើងដោយក្រុមប្រឹក្សាស្តង់ដារសុវត្ថិភាព PCI (PCI SSC) ការផ្លាស់ប្តូរមានសារៈសំខាន់ និងប៉ះពាល់ដោយផ្ទាល់ដល់ការការពារទិន្នន័យអតិថិជន និងរបៀបដែលទិន្នន័យការទូទាត់ត្រូវបានរក្សាទុក ដំណើរការ និងបញ្ជូន។ ប៉ុន្តែអ្វីដែលពិតជាផ្លាស់ប្តូរ?
ការផ្លាស់ប្តូរសំខាន់គឺតម្រូវការសម្រាប់កម្រិតខ្ពស់នៃសុវត្ថិភាពឌីជីថល។ ក្រុមហ៊ុននឹងត្រូវវិនិយោគលើបច្ចេកវិទ្យាទំនើបដូចជាការអ៊ិនគ្រីបដ៏រឹងមាំ និងការផ្ទៀងផ្ទាត់ពហុកត្តា។ វិធីសាស្រ្តនេះទាមទារយ៉ាងហោចណាស់កត្តាផ្ទៀងផ្ទាត់ពីរ ដើម្បីបញ្ជាក់អត្តសញ្ញាណរបស់អ្នកប្រើប្រាស់ មុនពេលផ្តល់សិទ្ធិចូលប្រើប្រព័ន្ធ កម្មវិធី ឬប្រតិបត្តិការ ដែលធ្វើឲ្យការលួចចូលកាន់តែពិបាក បើទោះបីជាឧក្រិដ្ឋជនអាចចូលប្រើពាក្យសម្ងាត់ ឬទិន្នន័យផ្ទាល់ខ្លួនក៏ដោយ។
ក្នុងចំណោមកត្តាផ្ទៀងផ្ទាត់ដែលប្រើគឺ៖
- អ្វីមួយដែលអ្នកប្រើប្រាស់ដឹង ៖ ពាក្យសម្ងាត់ កូដ PIN ឬចម្លើយចំពោះសំណួរសុវត្ថិភាព។
- អ្វីមួយដែលអ្នកប្រើប្រាស់មាន ៖ និមិត្តសញ្ញារូបវ័ន្ត សារ SMS ដែលមានលេខកូដផ្ទៀងផ្ទាត់ កម្មវិធីផ្ទៀងផ្ទាត់ (ដូចជា Google Authenticator) ឬវិញ្ញាបនបត្រឌីជីថល។
- អ្វីមួយដែលអ្នកប្រើប្រាស់គឺ ៖ ឌីជីថល ផ្ទៃមុខ សំឡេង ឬជីវមាត្រនៃការទទួលស្គាល់អាយរីស។
គាត់ពន្យល់ថា "ស្រទាប់ការពារទាំងនេះធ្វើឱ្យការចូលប្រើដោយគ្មានការអនុញ្ញាតកាន់តែពិបាក និងធានាបាននូវសុវត្ថិភាពកាន់តែច្រើនសម្រាប់ទិន្នន័យរសើប"។
លោក Wagner Elias នាយកប្រតិបត្តិនៃ Conviso ដែលជាអ្នកបង្កើតដំណោះស្រាយសុវត្ថិភាពកម្មវិធីពន្យល់ថា "និយាយឱ្យខ្លី យើងត្រូវពង្រឹងការការពារទិន្នន័យអតិថិជនដោយអនុវត្តវិធានការបន្ថែមដើម្បីការពារការចូលប្រើដោយគ្មានការអនុញ្ញាត" ។ លោកបានសង្កត់ធ្ងន់ថា "វាមិនមែនជាបញ្ហានៃ 'ការសម្របខ្លួននៅពេលចាំបាច់' ទៀតទេ ប៉ុន្តែការធ្វើសកម្មភាពបង្ការ។
នៅក្រោមច្បាប់ថ្មី ការអនុវត្តកើតឡើងជាពីរដំណាក់កាល៖ ដំណាក់កាលទីមួយជាមួយនឹងតម្រូវការថ្មីចំនួន 13 មានកាលកំណត់នៃខែមីនា ឆ្នាំ 2024 ។ ដំណាក់កាលទីពីរដែលមានតម្រូវការច្រើនជាងនេះ រួមមានតម្រូវការបន្ថែមចំនួន 51 ហើយត្រូវតែបំពេញត្រឹមថ្ងៃទី 31 ខែមីនា ឆ្នាំ 2025។ ម្យ៉ាងវិញទៀតអ្នកដែលខកខានមិនបានរៀបចំអាចប្រឈមនឹងការពិន័យធ្ងន់ធ្ងរ។
ដើម្បីសម្របទៅនឹងតម្រូវការថ្មី សកម្មភាពសំខាន់ៗមួយចំនួនរួមមានៈ ការអនុវត្ត ជញ្ជាំងភ្លើង និងប្រព័ន្ធការពារដ៏រឹងមាំ។ ការប្រើប្រាស់ការអ៊ិនគ្រីបក្នុងការបញ្ជូនទិន្នន័យ និងការផ្ទុក; បន្តត្រួតពិនិត្យ និងតាមដានការចូលប្រើប្រាស់ និងសកម្មភាពគួរឱ្យសង្ស័យ; ដំណើរការសាកល្បងឥតឈប់ឈរ និងប្រព័ន្ធដើម្បីកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះ។ និងការបង្កើត និងរក្សាគោលនយោបាយសន្តិសុខព័ត៌មានយ៉ាងម៉ត់ចត់។
Wagner សង្កត់ធ្ងន់ថា នៅក្នុងការអនុវត្ត នេះមានន័យថាក្រុមហ៊ុនណាដែលគ្រប់គ្រងការទូទាត់តាមកាតនឹងត្រូវពិនិត្យមើលរចនាសម្ព័ន្ធសុវត្ថិភាពឌីជីថលទាំងមូលរបស់ខ្លួន។ នេះពាក់ព័ន្ធនឹងការធ្វើបច្ចុប្បន្នភាពប្រព័ន្ធ ការពង្រឹងគោលនយោបាយផ្ទៃក្នុង និងក្រុមបណ្តុះបណ្តាលដើម្បីកាត់បន្ថយហានិភ័យ។ លោកពន្យល់ថា "ឧទាហរណ៍ ក្រុមហ៊ុនពាណិជ្ជកម្មអេឡិចត្រូនិកនឹងត្រូវធានាថាទិន្នន័យរបស់អតិថិជនត្រូវបានអ៊ិនគ្រីបពីចុងដល់ចប់ ហើយមានតែអ្នកប្រើប្រាស់ដែលមានការអនុញ្ញាតប៉ុណ្ណោះដែលអាចចូលប្រើព័ត៌មានរសើបបាន។ ម្យ៉ាងវិញទៀត ខ្សែសង្វាក់លក់រាយនឹងត្រូវអនុវត្តយន្តការដើម្បីតាមដានជាបន្តបន្ទាប់សម្រាប់ការប៉ុនប៉ងលួចបន្លំ និងការលេចធ្លាយទិន្នន័យ"។
ធនាគារ និង fintechs ក៏នឹងត្រូវពង្រឹងយន្តការផ្ទៀងផ្ទាត់របស់ពួកគេផងដែរ ដោយពង្រីកការប្រើប្រាស់បច្ចេកវិទ្យាដូចជា biometrics និងការផ្ទៀងផ្ទាត់ពហុកត្តា។ លោកបានសង្កត់ធ្ងន់ថា "គោលដៅគឺដើម្បីធ្វើឱ្យប្រតិបត្តិការកាន់តែមានសុវត្ថិភាពដោយមិនធ្វើឱ្យប៉ះពាល់ដល់បទពិសោធន៍របស់អតិថិជន។ នេះតម្រូវឱ្យមានតុល្យភាពរវាងការការពារ និងលទ្ធភាពប្រើប្រាស់ ដែលជាអ្វីដែលវិស័យហិរញ្ញវត្ថុបាននិងកំពុងប្រសើរឡើងក្នុងប៉ុន្មានឆ្នាំថ្មីៗនេះ" ។
ប៉ុន្តែហេតុអ្វីបានជាការផ្លាស់ប្តូរនេះសំខាន់ម៉្លេះ? វាមិនមែនជាការបំផ្លើសទេក្នុងការនិយាយថាការក្លែងបន្លំតាមឌីជីថលកំពុងក្លាយជាស្មុគ្រស្មាញកាន់តែខ្លាំងឡើង។ ការបំពានទិន្នន័យអាចបណ្តាលឱ្យមានការខាតបង់រាប់លានដុល្លារ និងការខូចខាតដែលមិនអាចជួសជុលបានចំពោះទំនុកចិត្តរបស់អតិថិជន។
Wagner Elias ព្រមានថា "ក្រុមហ៊ុនជាច្រើននៅតែប្រកាន់យកនូវវិធីសាស្រ្តប្រតិកម្ម ដោយគ្រាន់តែបារម្ភអំពីសុវត្ថិភាពបន្ទាប់ពីការវាយប្រហារកើតឡើង។ អាកប្បកិរិយានេះគួរឱ្យព្រួយបារម្ភ ដោយសារការរំលោភលើសុវត្ថិភាពអាចនាំឱ្យមានការខាតបង់ផ្នែកហិរញ្ញវត្ថុយ៉ាងសំខាន់ និងការខូចខាតដែលមិនអាចជួសជុលបានចំពោះកេរ្តិ៍ឈ្មោះរបស់អង្គការ ដែលអាចត្រូវបានជៀសវាងជាមួយនឹងវិធានការបង្ការ។"
លោកបានបញ្ជាក់បន្ថែមទៀតថា ដើម្បីជៀសវាងហានិភ័យទាំងនេះ គន្លឹះសំខាន់គឺត្រូវអនុវត្តការអនុវត្តសុវត្ថិភាពកម្មវិធីតាំងពីការចាប់ផ្តើមនៃការអភិវឌ្ឍន៍កម្មវិធីថ្មី ដោយធានាថាដំណាក់កាលនីមួយៗនៃវដ្តនៃការអភិវឌ្ឍន៍កម្មវិធីមានវិធានការការពាររួចហើយ។ នេះធានាថាវិធានការការពារត្រូវបានអនុវត្តនៅគ្រប់ដំណាក់កាលនៃវដ្តជីវិតរបស់កម្មវិធី ដែលមានប្រសិទ្ធភាពជាងការជួសជុលការខូចខាតបន្ទាប់ពីឧបទ្ទវហេតុ។
វាគួរឱ្យកត់សម្គាល់ថានេះគឺជានិន្នាការកើនឡើងនៅទូទាំងពិភពលោក។ ទីផ្សារសុវត្ថិភាពកម្មវិធីដែលមានតម្លៃ 11.62 ពាន់លានដុល្លារក្នុងឆ្នាំ 2024 ត្រូវបានគេរំពឹងថានឹងកើនឡើងដល់ 25.92 ពាន់លានដុល្លារនៅឆ្នាំ 2029 នេះបើយោងតាមក្រុមហ៊ុន Mordor Intelligence ។
Wagner ពន្យល់ថាដំណោះស្រាយដូចជា DevOps អនុញ្ញាតឱ្យគ្រប់បន្ទាត់នៃកូដត្រូវបានបង្កើតឡើងជាមួយនឹងការអនុវត្តប្រកបដោយសុវត្ថិភាព បន្ថែមពីលើសេវាកម្មដូចជាការធ្វើតេស្តជ្រៀតចូល និងការកាត់បន្ថយភាពងាយរងគ្រោះ។ លោកបានសង្កត់ធ្ងន់ថា "ការធ្វើការវិភាគសុវត្ថិភាពជាបន្តបន្ទាប់ និងការធ្វើតេស្តស្វ័យប្រវត្តិកម្មអនុញ្ញាតឱ្យក្រុមហ៊ុនគោរពតាមបទប្បញ្ញត្តិដោយមិនប៉ះពាល់ដល់ប្រសិទ្ធភាព" ។
លើសពីនេះ សេវាប្រឹក្សាឯកទេសមានសារៈសំខាន់ក្នុងដំណើរការនេះ ដែលជួយក្រុមហ៊ុនសម្របខ្លួនទៅនឹងតម្រូវការ PCI DSS 4.0 ថ្មី។ គាត់ពន្យល់ថា "ក្នុងចំណោមសេវាកម្មដែលស្វែងរកច្រើនបំផុតគឺ ការធ្វើតេស្តជ្រៀតចូល ក្រុមក្រហម និងការវាយតម្លៃសុវត្ថិភាពភាគីទីបី ដែលជួយកំណត់អត្តសញ្ញាណ និងកែតម្រូវភាពងាយរងគ្រោះ មុនពេលពួកវាអាចត្រូវបានកេងប្រវ័ញ្ចដោយឧក្រិដ្ឋជន" ។
ជាមួយនឹងការក្លែងបន្លំឌីជីថលកាន់តែទំនើប ការមិនអើពើសុវត្ថិភាពទិន្នន័យមិនមែនជាជម្រើសទៀតទេ។ លោកបានសន្និដ្ឋានថា "ក្រុមហ៊ុនដែលវិនិយោគលើវិធានការបង្ការធានានូវការការពារអតិថិជនរបស់ពួកគេ និងពង្រឹងទីតាំងទីផ្សាររបស់ពួកគេ។ ការអនុវត្តគោលការណ៍ណែនាំថ្មីគឺជាជំហានសំខាន់មួយឆ្ពោះទៅរកការកសាងបរិយាកាសការទូទាត់ប្រកបដោយសុវត្ថិភាព និងគួរឱ្យទុកចិត្តជាង" គាត់បានបញ្ចប់។
