Digitālā drošība tikko ir ieguvusi jaunus noteikumus, un uzņēmumiem, kas apstrādā karšu datus, ir jāpielāgojas. Līdz ar PCI drošības standartu padomes (PCI SSC) noteiktā Maksājumu karšu nozares datu drošības standarta (PCI DSS) 4.0 versijas ieviešanu izmaiņas ir būtiskas un tieši ietekmē klientu datu aizsardzību un to, kā maksājumu dati tiek glabāti, apstrādāti un pārsūtīti. Bet kas īsti mainās?
Galvenās izmaiņas ir nepieciešamība pēc vēl augstāka digitālās drošības līmeņa. Uzņēmumiem būs jāiegulda progresīvās tehnoloģijās, piemēram, spēcīgā šifrēšanā un daudzfaktoru autentifikācijā. Šī metode prasa vismaz divus verifikācijas faktorus, lai apstiprinātu lietotāja identitāti, pirms tiek piešķirta piekļuve sistēmām, lietojumprogrammām vai darījumiem, apgrūtinot uzlaušanu, pat ja noziedznieki iegūst piekļuvi parolēm vai personas datiem.
Starp izmantotajiem autentifikācijas faktoriem ir:
- Kaut kas, ko lietotājs zina : paroles, PIN kodi vai atbildes uz drošības jautājumiem.
- Kaut kas lietotāja rīcībā : fiziski žetoni, īsziņas ar verifikācijas kodiem, autentifikācijas lietotnes (piemēram, Google Authenticator) vai digitālie sertifikāti.
- Kaut kas, kas ir lietotājs : digitālā, sejas, balss vai varavīksnenes atpazīšanas biometrija.
“Šie aizsardzības slāņi ievērojami apgrūtina nesankcionētu piekļuvi un nodrošina lielāku sensitīvu datu drošību,” viņš skaidro.
„Īsāk sakot, mums ir jāstiprina klientu datu aizsardzība, ieviešot papildu pasākumus, lai novērstu nesankcionētu piekļuvi,” skaidro Vāgners Eliass, lietojumprogrammu drošības risinājumu izstrādātāja Conviso izpilddirektors. „Vairs nav runa par „pielāgošanos, kad nepieciešams”, bet gan par preventīvu rīcību,” viņš uzsver.
Saskaņā ar jaunajiem noteikumiem ieviešana notiek divos posmos: pirmajā posmā ar 13 jaunām prasībām bija termiņš 2024. gada marts. Otrajā, prasīgākajā posmā ir iekļauta 51 papildu prasība, un tā jāizpilda līdz 2025. gada 31. martam. Citiem vārdiem sakot, tiem, kas nespēs sagatavoties, var tikt piemērotas bargas sankcijas.
Lai pielāgotos jaunajām prasībām, dažas no galvenajām darbībām ietver: ugunsmūru un spēcīgu aizsardzības sistēmu ieviešanu; šifrēšanas izmantošanu datu pārraidē un glabāšanā; aizdomīgas piekļuves un darbību nepārtrauktu uzraudzību un izsekošanu; procesu un sistēmu pastāvīgu testēšanu, lai identificētu ievainojamības; un stingras informācijas drošības politikas izveidi un uzturēšanu.
Vāgners uzsver, ka praksē tas nozīmē, ka jebkuram uzņēmumam, kas apstrādā maksājumus ar kartēm, būs jāpārskata visa sava digitālās drošības struktūra. Tas ietver sistēmu atjaunināšanu, iekšējās politikas stiprināšanu un komandu apmācību, lai mazinātu riskus. "Piemēram, e-komercijas uzņēmumam būs jānodrošina, ka klientu dati ir pilnībā šifrēti un ka tikai pilnvarotiem lietotājiem ir piekļuve sensitīvai informācijai. Savukārt mazumtirdzniecības ķēdei būs jāievieš mehānismi, lai pastāvīgi uzraudzītu iespējamus krāpšanas mēģinājumus un datu noplūdes," viņš skaidro.
Bankām un finanšu tehnoloģiju uzņēmumiem būs arī jāstiprina savi autentifikācijas mehānismi, paplašinot tādu tehnoloģiju kā biometrijas un daudzfaktoru autentifikācijas izmantošanu. "Mērķis ir padarīt darījumus drošākus, neapdraudot klientu pieredzi. Tas prasa līdzsvaru starp aizsardzību un lietojamību, ko finanšu sektors pēdējos gados ir uzlabojis," viņš uzsver.
Bet kāpēc šīs pārmaiņas ir tik svarīgas? Nebūtu pārspīlēti teikt, ka digitālā krāpšana kļūst arvien sarežģītāka. Datu noplūdes var radīt miljoniem dolāru lielus zaudējumus un neatgriezenisku kaitējumu klientu uzticībai.
Vāgners Eliass brīdina: "Daudzi uzņēmumi joprojām izmanto reaktīvu pieeju, uztraucoties par drošību tikai pēc uzbrukuma. Šāda rīcība rada bažas, jo drošības pārkāpumi var radīt ievērojamus finansiālus zaudējumus un neatgriezenisku kaitējumu organizācijas reputācijai, ko varētu novērst ar preventīviem pasākumiem."
Viņš arī uzsver, ka, lai izvairītos no šiem riskiem, galvenais ir ieviest lietojumprogrammu drošības praksi jau no jaunās lietojumprogrammas izstrādes sākuma, nodrošinot, ka katrā programmatūras izstrādes cikla fāzē jau ir ieviesti aizsardzības pasākumi. Tas nodrošina, ka aizsardzības pasākumi tiek ieviesti visos programmatūras dzīves cikla posmos, kas ir daudz izmaksu ziņā efektīvāk nekā bojājumu novēršana pēc incidenta.
Ir vērts atzīmēt, ka šī ir augoša tendence visā pasaulē. Saskaņā ar Mordor Intelligence datiem, lietojumprogrammu drošības tirgus, kura vērtība 2024. gadā bija 11,62 miljardi ASV dolāru, līdz 2029. gadam, domājams, sasniegs 25,92 miljardus ASV dolāru.
Vāgners skaidro, ka tādi risinājumi kā DevOps ļauj izstrādāt katru koda rindiņu, izmantojot drošas prakses, papildus tādiem pakalpojumiem kā iekļūšanas testēšana un ievainojamību mazināšana. "Nepārtrauktas drošības analīzes veikšana un testēšanas automatizācija ļauj uzņēmumiem ievērot noteikumus, neapdraudot efektivitāti," viņš uzsver.
Turklāt šajā procesā ir svarīgi specializēti konsultāciju pakalpojumi, kas palīdz uzņēmumiem pielāgoties jaunajām PCI DSS 4.0 prasībām. "Starp vispieprasītākajiem pakalpojumiem ir ielaušanās testēšana, Red Team un trešo pušu drošības novērtējumi, kas palīdz identificēt un novērst ievainojamības, pirms tās var izmantot noziedznieki," viņš skaidro.
Tā kā digitālā krāpšana kļūst arvien sarežģītāka, datu drošības ignorēšana vairs nav risinājums. "Uzņēmumi, kas iegulda preventīvos pasākumos, nodrošina savu klientu aizsardzību un stiprina savu tirgus pozīciju. Jauno vadlīniju ieviešana, pirmkārt, ir būtisks solis ceļā uz drošākas un uzticamākas maksājumu vides izveidi," viņš secina.
