Keselamatan digital baru sahaja mendapat peraturan baharu dan syarikat yang memproses data kad perlu menyesuaikan diri. Dengan ketibaan versi 4.0 Piawaian Keselamatan Data Industri Kad Pembayaran (PCI DSS), yang ditubuhkan oleh Majlis Piawaian Keselamatan PCI (PCI SSC), perubahan itu ketara dan memberi kesan secara langsung kepada perlindungan data pelanggan dan cara data pembayaran disimpan, diproses dan dihantar. Tetapi apa yang sebenarnya berubah?
Perubahan utama ialah keperluan untuk tahap keselamatan digital yang lebih tinggi. Syarikat perlu melabur dalam teknologi canggih seperti penyulitan teguh dan pengesahan pelbagai faktor. Kaedah ini memerlukan sekurang-kurangnya dua faktor pengesahan untuk mengesahkan identiti pengguna sebelum memberikan akses kepada sistem, aplikasi atau transaksi, menjadikan penggodaman lebih sukar, walaupun penjenayah mendapat akses kepada kata laluan atau data peribadi.
Antara faktor pengesahan yang digunakan ialah:
- Sesuatu yang pengguna tahu : kata laluan, PIN atau jawapan kepada soalan keselamatan.
- Sesuatu yang pengguna miliki : token fizikal, SMS dengan kod pengesahan, apl pengesah (seperti Google Authenticator) atau sijil digital.
- Sesuatu yang pengguna ialah : biometrik pengecaman digital, muka, suara atau iris.
"Lapisan perlindungan ini menjadikan akses tanpa kebenaran lebih sukar dan memastikan keselamatan yang lebih besar untuk data sensitif," jelasnya.
"Ringkasnya, kami perlu mengukuhkan perlindungan data pelanggan dengan melaksanakan langkah tambahan untuk menghalang akses tanpa kebenaran," jelas Wagner Elias, Ketua Pegawai Eksekutif Conviso, pembangun penyelesaian keselamatan aplikasi. "Ia bukan lagi soal 'menyesuaikan diri apabila perlu,' tetapi bertindak secara pencegahan," tegasnya.
Di bawah peraturan baharu itu, pelaksanaan berlaku dalam dua fasa: yang pertama, dengan 13 keperluan baharu, mempunyai tarikh akhir pada Mac 2024. Fasa kedua yang lebih mencabar, termasuk 51 keperluan tambahan dan mesti dipenuhi selewat-lewatnya pada 31 Mac 2025. Dalam erti kata lain, mereka yang gagal membuat persediaan mungkin berdepan hukuman berat.
Untuk menyesuaikan diri dengan keperluan baharu, beberapa tindakan utama termasuk: melaksanakan tembok api dan sistem perlindungan yang teguh; menggunakan penyulitan dalam penghantaran dan penyimpanan data; memantau dan menjejaki akses dan aktiviti yang mencurigakan secara berterusan; sentiasa menguji proses dan sistem untuk mengenal pasti kelemahan; dan mencipta dan mengekalkan dasar keselamatan maklumat yang ketat.
Wagner menekankan bahawa, dalam amalan, ini bermakna mana-mana syarikat yang mengendalikan pembayaran kad perlu menyemak keseluruhan struktur keselamatan digitalnya. Ini melibatkan pengemaskinian sistem, pengukuhan dasar dalaman dan pasukan latihan untuk meminimumkan risiko. "Sebagai contoh, syarikat e-dagang perlu memastikan bahawa data pelanggan disulitkan hujung ke hujung dan hanya pengguna yang diberi kuasa mempunyai akses kepada maklumat sensitif. Rantaian runcit, sebaliknya, perlu melaksanakan mekanisme untuk memantau secara berterusan kemungkinan percubaan penipuan dan kebocoran data, "jelasnya.
Bank dan fintech juga perlu mengukuhkan mekanisme pengesahan mereka, mengembangkan penggunaan teknologi seperti biometrik dan pengesahan pelbagai faktor. "Matlamatnya adalah untuk menjadikan transaksi lebih selamat tanpa menjejaskan pengalaman pelanggan. Ini memerlukan keseimbangan antara perlindungan dan kebolehgunaan, sesuatu yang sektor kewangan telah bertambah baik sejak beberapa tahun kebelakangan ini," tegasnya.
Tetapi mengapa perubahan ini sangat penting? Tidak keterlaluan untuk mengatakan bahawa penipuan digital menjadi semakin canggih. Pelanggaran data boleh mengakibatkan kerugian berjuta-juta dolar dan kerosakan yang tidak boleh diperbaiki kepada kepercayaan pelanggan.
Wagner Elias memberi amaran: "Banyak syarikat masih menggunakan pendekatan reaktif, hanya bimbang tentang keselamatan selepas serangan berlaku. Tingkah laku ini membimbangkan, kerana pelanggaran keselamatan boleh membawa kepada kerugian kewangan yang ketara dan kerosakan yang tidak boleh diperbaiki kepada reputasi organisasi, yang boleh dielakkan dengan langkah pencegahan."
Beliau seterusnya menekankan bahawa untuk mengelakkan risiko ini, kuncinya ialah mengamalkan amalan Keselamatan Aplikasi dari awal pembangunan aplikasi baharu, memastikan setiap fasa kitaran pembangunan perisian sudah mempunyai langkah perlindungan. Ini memastikan bahawa langkah perlindungan dilaksanakan pada semua peringkat kitaran hayat perisian, yang jauh lebih menjimatkan kos daripada memulihkan kerosakan selepas kejadian."
Perlu diingat bahawa ini adalah trend yang semakin meningkat di seluruh dunia. Pasaran keselamatan aplikasi, yang bernilai $11.62 bilion pada 2024, dijangka mencapai $25.92 bilion menjelang 2029, menurut Mordor Intelligence.
Wagner menjelaskan bahawa penyelesaian seperti DevOps membenarkan setiap baris kod dibangunkan dengan amalan selamat, selain perkhidmatan seperti ujian penembusan dan pengurangan kerentanan. "Menjalankan analisis keselamatan berterusan dan automasi ujian membolehkan syarikat mematuhi peraturan tanpa menjejaskan kecekapan," tegasnya.
Tambahan pula, perkhidmatan perundingan khusus adalah penting dalam proses ini, membantu syarikat menyesuaikan diri dengan keperluan PCI DSS 4.0 baharu. "Antara perkhidmatan yang paling dicari ialah Ujian Penembusan, Pasukan Merah dan penilaian keselamatan pihak ketiga, yang membantu mengenal pasti dan membetulkan kelemahan sebelum ia boleh dieksploitasi oleh penjenayah," jelasnya.
Dengan penipuan digital menjadi semakin canggih, mengabaikan keselamatan data bukan lagi pilihan. "Syarikat yang melabur dalam langkah pencegahan memastikan perlindungan pelanggan mereka dan mengukuhkan kedudukan pasaran mereka. Melaksanakan garis panduan baharu adalah, di atas segalanya, langkah penting ke arah membina persekitaran pembayaran yang lebih selamat dan boleh dipercayai," katanya menyimpulkan.
