Дижитал аюулгүй байдал нь шинэ дүрэм журамтай болсон бөгөөд картын өгөгдлийг боловсруулдаг компаниуд дасан зохицох шаардлагатай байна. PCI Аюулгүй байдлын Стандартын Зөвлөлөөс (PCI SSC) байгуулсан Төлбөрийн картын үйлдвэрлэлийн мэдээллийн аюулгүй байдлын стандартын (PCI DSS) 4.0 хувилбар гарч ирснээр өөрчлөлтүүд чухал ач холбогдолтой бөгөөд хэрэглэгчийн мэдээллийг хамгаалах, төлбөрийн өгөгдлийг хэрхэн хадгалах, боловсруулах, дамжуулахад шууд нөлөөлсөн. Гэхдээ үнэхээр юу өөрчлөгдөх вэ?
Гол өөрчлөлт нь дижитал аюулгүй байдлын илүү өндөр түвшний хэрэгцээ юм. Компаниуд бат бөх шифрлэлт, олон хүчин зүйлийн баталгаажуулалт зэрэг дэвшилтэт технологид хөрөнгө оруулалт хийх шаардлагатай болно. Энэ арга нь систем, програм, гүйлгээнд нэвтрэх эрх олгохоос өмнө хэрэглэгчийн хэн болохыг баталгаажуулахын тулд дор хаяж хоёр баталгаажуулах хүчин зүйл шаарддаг бөгөөд гэмт хэрэгтнүүд нууц үг, хувийн мэдээлэлд нэвтэрсэн ч хакердах ажиллагааг улам хүндрүүлдэг.
Ашигласан баталгаажуулалтын хүчин зүйлүүдийн дунд:
- Хэрэглэгчийн мэддэг зүйл : нууц үг, ПИН код эсвэл аюулгүй байдлын асуултын хариулт.
- Хэрэглэгчид ямар нэг зүйл байна : физик жетон, баталгаажуулах код бүхий SMS, баталгаажуулагч програмууд (Google Authenticator гэх мэт) эсвэл дижитал гэрчилгээ.
- Хэрэглэгч нь дижитал, нүүр царай, дуу хоолой эсвэл цахилдаг таних биометр юм.
"Эдгээр хамгаалалтын давхаргууд нь зөвшөөрөлгүй хандалтыг улам хүндрүүлж, эмзэг мэдээллийн аюулгүй байдлыг хангадаг" гэж тэр тайлбарлав.
"Товчхондоо, бид зөвшөөрөлгүй нэвтрэхээс урьдчилан сэргийлэх нэмэлт арга хэмжээнүүдийг хэрэгжүүлэх замаар хэрэглэгчийн мэдээллийн хамгаалалтыг бэхжүүлэх хэрэгтэй" гэж хэрэглээний аюулгүй байдлын шийдлүүдийг хөгжүүлэгч Conviso компанийн гүйцэтгэх захирал Вагнер Элиас тайлбарлав. "Шаардлагатай үед дасан зохицох" асуудал биш, харин урьдчилан сэргийлэх арга хэмжээ авах нь чухал юм" гэж тэр онцлон тэмдэглэв.
Шинэ журмын дагуу хэрэгжилт нь хоёр үе шаттайгаар явагдана: эхнийх нь 13 шинэ шаардлага, 2024 оны 3-р сар хүртэл эцсийн хугацаатай байсан. Хоёр дахь нь илүү их шаардсан үе шатанд 51 нэмэлт шаардлага багтсан бөгөөд 2025 оны 3-р сарын 31-ний дотор биелүүлэх ёстой. Өөрөөр хэлбэл, бэлтгэлээ хийгээгүй хүмүүст хатуу шийтгэл ногдуулж болзошгүй юм.
Шинэ шаардлагад дасан зохицохын тулд гол арга хэмжээнүүдийн нэг нь: галт хана болон бат бөх хамгаалалтын системийг хэрэгжүүлэх; өгөгдөл дамжуулах, хадгалахад шифрлэлтийг ашиглах; сэжигтэй хандалт, үйл ажиллагааг тасралтгүй хянах, хянах; эмзэг байдлыг илрүүлэхийн тулд процесс, системийг байнга турших; Мэдээллийн аюулгүй байдлын хатуу бодлогыг бий болгох, хадгалах.
Бодит байдал дээр энэ нь картын төлбөр тооцоо хийдэг аливаа компани дижитал хамгаалалтын бүтцээ бүхэлд нь хянаж үзэх шаардлагатай гэсэн үг гэдгийг Вагнер онцолж байна. Үүнд системийг шинэчлэх, дотоод бодлогоо бэхжүүлэх, эрсдэлийг бууруулахын тулд багийг сургах зэрэг орно. "Жишээ нь, цахим худалдааны компани нь хэрэглэгчийн мэдээллийг төгсгөл хүртэл шифрлэж, зөвхөн эрх бүхий хэрэглэгчид нууц мэдээлэлд хандах боломжтой байх ёстой. Нөгөө талаас жижиглэн худалдааны сүлжээ нь залилан мэхлэх оролдлого, мэдээлэл алдагдлыг тасралтгүй хянах механизмыг хэрэгжүүлэх шаардлагатай" гэж тэр тайлбарлав.
Мөн банкууд болон финтекүүд баталгаажуулалтын механизмаа бэхжүүлж, биометр, олон хүчин зүйлийн баталгаажуулалт зэрэг технологийн хэрэглээг өргөжүүлэх шаардлагатай болно. "Зорилго нь хэрэглэгчийн туршлагыг алдагдуулахгүйгээр гүйлгээг илүү найдвартай болгох явдал юм. Энэ нь хамгаалалт болон ашиглах боломжтой байдлын хоорондын тэнцвэрийг шаарддаг бөгөөд энэ нь санхүүгийн салбар сүүлийн жилүүдэд сайжирч байгаа зүйл юм" гэж тэр онцлон тэмдэглэв.
Гэхдээ энэ өөрчлөлт яагаад ийм чухал вэ? Дижитал луйвар улам боловсронгуй болж байна гэвэл хэтрүүлэг болохгүй. Мэдээллийн зөрчил нь олон сая долларын алдагдалд хүргэж, үйлчлүүлэгчдийн итгэлийг нөхөж баршгүй хохирол учруулж болзошгүй юм.
Вагнер Элиас: "Олон компаниуд халдлага гарсны дараа л аюулгүй байдлын талаар санаа зовдог реактив хандлагыг баримталсаар байна. Аюулгүй байдлын зөрчил нь санхүүгийн томоохон алдагдалд хүргэж, байгууллагын нэр хүндэд нөхөж баршгүй хохирол учруулж болзошгүй тул урьдчилан сэргийлэх арга хэмжээ авснаар энэ нь санаа зовоож байна."
Тэрээр цааш нь эдгээр эрсдэлээс зайлсхийхийн тулд програм хангамжийн хөгжүүлэлтийн үе шат бүрийг хамгаалах арга хэмжээнүүдтэй байхын тулд шинэ аппликейшнийг хөгжүүлж эхэлснээс хойш Програмын аюулгүй байдлын туршлагыг нэвтрүүлэх нь чухал гэдгийг онцлон тэмдэглэв. Энэ нь программ хангамжийн амьдралын мөчлөгийн бүх үе шатанд хамгаалалтын арга хэмжээг хэрэгжүүлэх боломжийг олгодог бөгөөд энэ нь ослын дараах хохирлыг арилгахаас хамаагүй илүү зардал багатай юм."
Энэ нь дэлхий даяар өсөн нэмэгдэж буй чиг хандлага гэдгийг тэмдэглэх нь зүйтэй. Mordor Intelligence-ийн мэдээлснээр 2024 онд 11.62 тэрбум доллараар үнэлэгдсэн хэрэглээний аюулгүй байдлын зах зээл 2029 он гэхэд 25.92 тэрбум долларт хүрэх төлөвтэй байна.
DevOps гэх мэт шийдлүүд нь нэвтрэлтийн тест, эмзэг байдлыг бууруулах зэрэг үйлчилгээнүүдээс гадна кодын мөр бүрийг аюулгүй дадлагаар боловсруулах боломжийг олгодог гэж Вагнер тайлбарлав. "Аюулгүй байдлын шинжилгээ, туршилтын автоматжуулалтыг тасралтгүй хийх нь компаниудад үр ашгийг алдагдуулахгүйгээр дүрэм журмыг дагаж мөрдөх боломжийг олгодог" гэж тэр онцлон тэмдэглэв.
Цаашилбал, тусгай зөвлөх үйлчилгээ нь энэ үйл явцад чухал ач холбогдолтой бөгөөд компаниудад PCI DSS 4.0-ийн шинэ шаардлагад дасан зохицоход тусалдаг. "Хамгийн эрэлт хэрэгцээтэй үйлчилгээнүүдийн нэг бол нэвтрэлтийн тест, Улаан баг, гуравдагч талын аюулгүй байдлын үнэлгээ юм. Энэ нь гэмт хэрэгтнүүдэд ашиглагдахаас өмнө сул талуудыг илрүүлж, засахад тусалдаг" гэж тэр тайлбарлав.
Дижитал луйвар улам боловсронгуй болж байгаа тул мэдээллийн аюулгүй байдлыг үл тоомсорлох сонголт байхаа больсон. "Урьдчилан сэргийлэх арга хэмжээнд хөрөнгө оруулалт хийдэг компаниуд үйлчлүүлэгчдийнхээ хамгаалалтыг баталгаажуулж, зах зээлийн байр сууриа бэхжүүлдэг. Шинэ удирдамжийг хэрэгжүүлэх нь юуны түрүүнд илүү аюулгүй, найдвартай төлбөрийн орчныг бүрдүүлэх чухал алхам юм" гэж тэр дүгнэв.
