Дигиталната безбедност штотуку доби нови правила, а компаниите што обработуваат податоци од картички треба да се прилагодат. Со доаѓањето на верзијата 4.0 од Стандардот за безбедност на податоци во индустријата за платежни картички (PCI DSS), утврден од Советот за безбедносни стандарди на PCI (PCI SSC), промените се значајни и директно влијаат врз заштитата на податоците на клиентите и како податоците за плаќање се складираат, обработуваат и пренесуваат. Но, што навистина се менува?
Главната промена е потребата од уште повисоко ниво на дигитална безбедност. Компаниите ќе мора да инвестираат во напредни технологии како што се робусно енкрипција и повеќефакторска автентикација. Овој метод бара најмалку два фактори за верификација за да се потврди идентитетот на корисникот пред да се овозможи пристап до системи, апликации или трансакции, што го отежнува хакирањето, дури и ако криминалците добијат пристап до лозинки или лични податоци.
Меѓу факторите за автентикација што се користат се:
- Нешто што корисникот го знае : лозинки, ПИН-кодови или одговори на безбедносни прашања.
- Нешто што корисникот го има : физички токени, SMS пораки со кодови за верификација, апликации за автентикација (како Google Authenticator) или дигитални сертификати.
- Нешто што корисникот е : дигитална, лицева, гласовна или биометриска анализа на ирисот.
„Овие слоеви на заштита го отежнуваат неовластениот пристап и обезбедуваат поголема безбедност за чувствителните податоци“, објаснува тој.
„Накратко, треба да ја зајакнеме заштитата на податоците на клиентите со спроведување дополнителни мерки за спречување на неовластен пристап“, објаснува Вагнер Елиас, извршен директор на „Конвисо“, развивач на безбедносни решенија за апликации. „Веќе не станува збор за „прилагодување кога е потребно“, туку за превентивно дејствување“, нагласува тој.
Според новите правила, имплементацијата се одвива во две фази: првата, со 13 нови барања, имаше рок до март 2024 година. Втората, потешка фаза, вклучува 51 дополнителен услов и мора да биде исполнета до 31 март 2025 година. Со други зборови, оние кои нема да се подготват може да се соочат со строги казни.
За да се прилагодат на новите барања, некои од клучните активности вклучуваат: имплементација на firewall-ови и робусни системи за заштита; користење на енкрипција при пренос и складирање на податоци; континуирано следење и следење на сомнителен пристап и активност; постојано тестирање на процесите и системите за идентификување на ранливости; и креирање и одржување на ригорозна политика за безбедност на информациите.
Вагнер нагласува дека, во пракса, ова значи дека секоја компанија што обработува плаќања со картички ќе треба да ја преиспита целата своја дигитална безбедносна структура. Ова вклучува ажурирање на системите, зајакнување на внатрешните политики и обука на тимови за минимизирање на ризиците. „На пример, компанијата за е-трговија ќе треба да се осигура дека податоците на клиентите се енкриптирани од крај до крај и дека само овластени корисници имаат пристап до чувствителни информации. Од друга страна, малопродажниот синџир ќе треба да имплементира механизми за континуирано следење на можни обиди за измама и протекување на податоци“, објаснува тој.
Банките и финтех компаниите исто така ќе треба да ги зајакнат своите механизми за автентикација, проширувајќи ја употребата на технологии како што се биометријата и повеќефакторската автентикација. „Целта е трансакциите да се направат побезбедни без да се загрози искуството на клиентите. Ова бара рамнотежа помеѓу заштитата и употребливоста, нешто што финансискиот сектор го подобрува во последните години“, нагласува тој.
Но, зошто е оваа промена толку важна? Не е претерување да се каже дека дигиталната измама станува сè пософистицирана. Прекршувањата на безбедноста на податоците можат да резултираат со милиони долари загуби и непоправлива штета на довербата на клиентите.
Вагнер Елиас предупредува: „Многу компании сè уште усвојуваат реактивен пристап, грижејќи се за безбедноста само откако ќе се случи нападот. Ова однесување е загрижувачко, бидејќи нарушувањата на безбедноста можат да доведат до значителни финансиски загуби и непоправлива штета на угледот на организацијата, што би можело да се избегне со превентивни мерки.“
Тој понатаму нагласува дека за да се избегнат овие ризици, клучот е да се усвојат практики за безбедност на апликациите од самиот почеток на развојот на новата апликација, осигурувајќи дека секоја фаза од циклусот на развој на софтверот веќе има заштитни мерки. Ова осигурува дека заштитните мерки се имплементираат во сите фази од животниот циклус на софтверот, што е многу поекономично од санирање на штетата по инцидент.“
Вреди да се напомене дека ова е растечки тренд низ целиот свет. Пазарот за безбедност на апликации, кој беше проценет на 11,62 милијарди долари во 2024 година, се очекува да достигне 25,92 милијарди долари до 2029 година, според „Мордор интелиџенс“.
Вагнер објаснува дека решенијата како DevOps овозможуваат секој ред код да се развива со безбедни практики, покрај услугите како што се тестирање на пенетрација и ублажување на ранливости. „Спроведувањето континуирана анализа на безбедноста и автоматизацијата на тестирањето им овозможува на компаниите да се придржуваат кон регулативите без да се загрози ефикасноста“, нагласува тој.
Понатаму, специјализираните консултантски услуги се важни во овој процес, помагајќи им на компаниите да се прилагодат на новите барања на PCI DSS 4.0. „Меѓу најбараните услуги се тестирањето на пенетрацијата, Red Team и безбедносните проценки од трети страни, кои помагаат да се идентификуваат и корегираат ранливостите пред да можат да бидат искористени од криминалци“, објаснува тој.
Со оглед на тоа што дигиталните измами стануваат сè пософистицирани, игнорирањето на безбедноста на податоците повеќе не е опција. „Компаниите што инвестираат во превентивни мерки ја обезбедуваат заштитата на своите клиенти и ја зајакнуваат својата пазарна позиција. Спроведувањето на новите упатства е, пред сè, суштински чекор кон градење побезбедна и посигурна средина за плаќање“, заклучува тој.
