डिजिटल सुरक्षेला नुकतेच नवीन नियम मिळाले आहेत आणि कार्ड डेटा प्रक्रिया करणाऱ्या कंपन्यांना जुळवून घ्यावे लागेल. पीसीआय सिक्युरिटी स्टँडर्ड्स कौन्सिल (पीसीआय एसएससी) ने स्थापित केलेल्या पेमेंट कार्ड इंडस्ट्री डेटा सिक्युरिटी स्टँडर्ड (पीसीआय डीएसएस) च्या आवृत्ती ४.० च्या आगमनाने, हे बदल महत्त्वपूर्ण आहेत आणि ग्राहकांच्या डेटाच्या संरक्षणावर आणि पेमेंट डेटा कसा संग्रहित केला जातो, प्रक्रिया केला जातो आणि प्रसारित केला जातो यावर थेट परिणाम करतात. पण खरोखर काय बदल होतात?
मुख्य बदल म्हणजे डिजिटल सुरक्षेच्या आणखी उच्च पातळीची आवश्यकता. कंपन्यांना मजबूत एन्क्रिप्शन आणि मल्टी-फॅक्टर ऑथेंटिकेशन सारख्या प्रगत तंत्रज्ञानामध्ये गुंतवणूक करावी लागेल. सिस्टम, अॅप्लिकेशन्स किंवा व्यवहारांमध्ये प्रवेश देण्यापूर्वी वापरकर्त्याची ओळख पुष्टी करण्यासाठी या पद्धतीमध्ये किमान दोन पडताळणी घटकांची आवश्यकता असते, ज्यामुळे गुन्हेगारांना पासवर्ड किंवा वैयक्तिक डेटामध्ये प्रवेश मिळाला तरीही हॅकिंग करणे अधिक कठीण होते.
वापरल्या जाणाऱ्या प्रमाणीकरण घटकांमध्ये हे समाविष्ट आहे:
- वापरकर्त्याला माहित असलेली एखादी गोष्ट : पासवर्ड, पिन किंवा सुरक्षा प्रश्नांची उत्तरे.
- वापरकर्त्याकडे असलेले काहीतरी : भौतिक टोकन, पडताळणी कोड असलेले एसएमएस, ऑथेंटिकेटर अॅप्स (जसे की गुगल ऑथेंटिकेटर), किंवा डिजिटल प्रमाणपत्रे.
- वापरकर्ता काहीतरी आहे : डिजिटल, फेशियल, व्हॉइस किंवा आयरिस रेकग्निशन बायोमेट्रिक्स.
"संरक्षणाचे हे स्तर अनधिकृत प्रवेश अधिक कठीण करतात आणि संवेदनशील डेटासाठी अधिक सुरक्षितता सुनिश्चित करतात," तो स्पष्ट करतो.
"थोडक्यात, अनधिकृत प्रवेश रोखण्यासाठी अतिरिक्त उपाययोजना राबवून ग्राहकांच्या डेटाचे संरक्षण मजबूत करण्याची आवश्यकता आहे," असे अॅप्लिकेशन सुरक्षा उपायांचे विकसक कॉन्व्हिसोचे सीईओ वॅग्नर एलियास स्पष्ट करतात. "आता 'आवश्यकतेनुसार परिस्थितीशी जुळवून घेण्याची' बाब राहिलेली नाही, तर प्रतिबंधात्मक कृती करण्याची आहे," असे ते जोर देतात.
नवीन नियमांनुसार, अंमलबजावणी दोन टप्प्यात होते: पहिल्या टप्प्यात, १३ नवीन आवश्यकतांसह, मार्च २०२४ ही अंतिम मुदत होती. दुसऱ्या टप्प्यात, अधिक कठीण टप्प्यात, ५१ अतिरिक्त आवश्यकता समाविष्ट आहेत आणि त्या ३१ मार्च २०२५ पर्यंत पूर्ण केल्या पाहिजेत. दुसऱ्या शब्दांत, तयारी करण्यात अयशस्वी होणाऱ्यांना कठोर दंड होऊ शकतो.
नवीन आवश्यकतांनुसार जुळवून घेण्यासाठी, काही प्रमुख कृतींमध्ये हे समाविष्ट आहे: फायरवॉल आणि मजबूत संरक्षण प्रणाली लागू करणे; डेटा ट्रान्समिशन आणि स्टोरेजमध्ये एन्क्रिप्शन वापरणे; संशयास्पद प्रवेश आणि क्रियाकलापांचे सतत निरीक्षण आणि ट्रॅकिंग; भेद्यता ओळखण्यासाठी प्रक्रिया आणि प्रणालींची सतत चाचणी करणे; आणि कठोर माहिती सुरक्षा धोरण तयार करणे आणि राखणे.
वॅग्नर यावर भर देतात की, प्रत्यक्षात, याचा अर्थ असा आहे की कार्ड पेमेंट हाताळणाऱ्या कोणत्याही कंपनीला तिच्या संपूर्ण डिजिटल सुरक्षा संरचनेचा आढावा घ्यावा लागेल. यामध्ये सिस्टम अपडेट करणे, अंतर्गत धोरणे मजबूत करणे आणि जोखीम कमी करण्यासाठी टीमना प्रशिक्षण देणे समाविष्ट आहे. "उदाहरणार्थ, ई-कॉमर्स कंपनीला ग्राहकांचा डेटा एंड-टू-एंड एन्क्रिप्टेड आहे आणि केवळ अधिकृत वापरकर्त्यांनाच संवेदनशील माहिती मिळू शकेल याची खात्री करावी लागेल. दुसरीकडे, किरकोळ विक्रेत्यांना संभाव्य फसवणूक प्रयत्न आणि डेटा लीकवर सतत लक्ष ठेवण्यासाठी यंत्रणा राबवाव्या लागतील," असे ते स्पष्ट करतात.
बँका आणि फिनटेक कंपन्यांना बायोमेट्रिक्स आणि मल्टी-फॅक्टर ऑथेंटिकेशन सारख्या तंत्रज्ञानाचा वापर वाढवून त्यांच्या प्रमाणीकरण यंत्रणा मजबूत करण्याची आवश्यकता असेल. "ग्राहकांच्या अनुभवाशी तडजोड न करता व्यवहार अधिक सुरक्षित करणे हे ध्येय आहे. यासाठी संरक्षण आणि वापरण्यायोग्यता यांच्यातील संतुलन आवश्यक आहे, जे अलिकडच्या वर्षांत वित्तीय क्षेत्रात सुधारणा होत आहे," असे ते जोर देतात.
पण हा बदल इतका महत्त्वाचा का आहे? डिजिटल फसवणूक दिवसेंदिवस अधिकाधिक प्रगत होत चालली आहे असे म्हटले तर अतिशयोक्ती होणार नाही. डेटा उल्लंघनामुळे लाखो डॉलर्सचे नुकसान होऊ शकते आणि ग्राहकांच्या विश्वासाला कधीही भरून न येणारे नुकसान होऊ शकते.
वॅग्नर एलियास इशारा देतात: "अनेक कंपन्या अजूनही प्रतिक्रियात्मक दृष्टिकोन स्वीकारतात, हल्ला झाल्यानंतर फक्त सुरक्षेची चिंता करतात. हे वर्तन चिंताजनक आहे, कारण सुरक्षा उल्लंघनांमुळे लक्षणीय आर्थिक नुकसान होऊ शकते आणि संस्थेच्या प्रतिष्ठेला कधीही भरून न येणारे नुकसान होऊ शकते, जे प्रतिबंधात्मक उपायांनी टाळता येऊ शकते."
ते पुढे यावर भर देतात की हे धोके टाळण्यासाठी, नवीन अॅप्लिकेशनच्या विकासाच्या सुरुवातीपासूनच अॅप्लिकेशन सुरक्षा पद्धतींचा अवलंब करणे महत्त्वाचे आहे, सॉफ्टवेअर डेव्हलपमेंट सायकलच्या प्रत्येक टप्प्यात आधीच संरक्षणात्मक उपाय आहेत याची खात्री करणे. हे सुनिश्चित करते की सॉफ्टवेअर लाइफसायकलच्या सर्व टप्प्यांवर संरक्षणात्मक उपाय अंमलात आणले जातात, जे घटनेनंतर झालेल्या नुकसानाची भरपाई करण्यापेक्षा खूपच किफायतशीर आहे."
हे लक्षात घेण्यासारखे आहे की जगभरात हा एक वाढता ट्रेंड आहे. मॉर्डर इंटेलिजेंसच्या मते, २०२४ मध्ये ११.६२ अब्ज डॉलर्सचे मूल्य असलेले अॅप्लिकेशन सिक्युरिटी मार्केट २०२९ पर्यंत २५.९२ अब्ज डॉलर्सपर्यंत पोहोचण्याची अपेक्षा आहे.
वॅग्नर स्पष्ट करतात की डेव्हऑप्स सारख्या उपायांमुळे कोडची प्रत्येक ओळ सुरक्षित पद्धतींसह विकसित करता येते, तसेच पेनिट्रेशन टेस्टिंग आणि व्हेरलेबिलिटी शमन सारख्या सेवा देखील उपलब्ध होतात. "सतत सुरक्षा विश्लेषण आणि चाचणी ऑटोमेशन आयोजित केल्याने कंपन्यांना कार्यक्षमतेशी तडजोड न करता नियमांचे पालन करण्याची परवानगी मिळते," असे ते जोर देतात.
शिवाय, या प्रक्रियेत विशेष सल्लागार सेवा महत्त्वाच्या आहेत, ज्यामुळे कंपन्यांना नवीन PCI DSS 4.0 आवश्यकतांनुसार जुळवून घेण्यास मदत होते. "सर्वात जास्त मागणी असलेल्या सेवांमध्ये पेनिट्रेशन टेस्टिंग, रेड टीम आणि थर्ड-पार्टी सुरक्षा मूल्यांकन यांचा समावेश आहे, जे गुन्हेगारांकडून शोषण होण्यापूर्वी भेद्यता ओळखण्यास आणि दुरुस्त करण्यास मदत करतात," तो स्पष्ट करतो.
डिजिटल फसवणूक अधिकाधिक प्रगत होत असताना, डेटा सुरक्षेकडे दुर्लक्ष करणे आता पर्याय नाही. "प्रतिबंधात्मक उपायांमध्ये गुंतवणूक करणाऱ्या कंपन्या त्यांच्या ग्राहकांचे संरक्षण सुनिश्चित करतात आणि त्यांची बाजारपेठेतील स्थिती मजबूत करतात. नवीन मार्गदर्शक तत्त्वांची अंमलबजावणी करणे हे सर्वात महत्त्वाचे म्हणजे, सुरक्षित आणि अधिक विश्वासार्ह पेमेंट वातावरण तयार करण्याच्या दिशेने एक आवश्यक पाऊल आहे," असे ते निष्कर्ष काढतात.
