डिजिटल सुरक्षाले भर्खरै नयाँ नियमहरू प्राप्त गरेको छ, र कार्ड डेटा प्रशोधन गर्ने कम्पनीहरूले अनुकूलन गर्न आवश्यक छ। PCI सुरक्षा मानक परिषद् (PCI SSC) द्वारा स्थापित भुक्तानी कार्ड उद्योग डेटा सुरक्षा मानक (PCI DSS) को संस्करण ४.० को आगमनसँगै, परिवर्तनहरू महत्त्वपूर्ण छन् र ग्राहक डेटाको सुरक्षा र भुक्तानी डेटा कसरी भण्डारण, प्रशोधन र प्रसारण गरिन्छ भन्ने कुरामा प्रत्यक्ष प्रभाव पार्छन्। तर वास्तवमा के परिवर्तन हुन्छ?
मुख्य परिवर्तन भनेको अझ उच्च स्तरको डिजिटल सुरक्षाको आवश्यकता हो। कम्पनीहरूले बलियो इन्क्रिप्सन र बहु-कारक प्रमाणीकरण जस्ता उन्नत प्रविधिहरूमा लगानी गर्नुपर्नेछ। यो विधिलाई प्रणाली, अनुप्रयोगहरू, वा लेनदेनहरूमा पहुँच प्रदान गर्नु अघि प्रयोगकर्ताको पहिचान पुष्टि गर्न कम्तिमा दुई प्रमाणिकरण कारकहरू आवश्यक पर्दछ, जसले गर्दा ह्याकिङलाई अझ गाह्रो बनाउँछ, यदि अपराधीहरूले पासवर्ड वा व्यक्तिगत डेटामा पहुँच प्राप्त गरे पनि।
प्रयोग गरिएका प्रमाणीकरण कारकहरू मध्ये निम्न हुन्:
- प्रयोगकर्तालाई थाहा भएको कुरा : पासवर्ड, पिन, वा सुरक्षा प्रश्नहरूको उत्तर।
- प्रयोगकर्तासँग भएको केही कुरा : भौतिक टोकनहरू, प्रमाणिकरण कोडहरू सहितको SMS, प्रमाणिकरण एपहरू (जस्तै Google प्रमाणिकरणकर्ता), वा डिजिटल प्रमाणपत्रहरू।
- प्रयोगकर्ताको लागि केही कुरा यस्तो छ : डिजिटल, अनुहार, आवाज वा आइरिस पहिचान बायोमेट्रिक्स।
"सुरक्षाका यी तहहरूले अनधिकृत पहुँचलाई धेरै गाह्रो बनाउँछन् र संवेदनशील डेटाको लागि अझ बढी सुरक्षा सुनिश्चित गर्छन्," उनी बताउँछन्।
"छोटकरीमा भन्नुपर्दा, हामीले अनधिकृत पहुँच रोक्न थप उपायहरू लागू गरेर ग्राहक डेटाको सुरक्षालाई बलियो बनाउनु पर्छ," अनुप्रयोग सुरक्षा समाधानहरूको विकासकर्ता कन्भिसोका सीईओ वाग्नर एलियास बताउँछन्। "यो अब 'आवश्यक पर्दा अनुकूलन गर्ने' कुरा होइन, तर निवारक रूपमा कार्य गर्ने कुरा हो," उनी जोड दिन्छन्।
नयाँ नियमहरू अन्तर्गत, कार्यान्वयन दुई चरणहरूमा हुन्छ: पहिलो, १३ नयाँ आवश्यकताहरू सहित, मार्च २०२४ सम्मको समयसीमा थियो। दोस्रो, बढी चुनौतीपूर्ण चरणमा, ५१ थप आवश्यकताहरू समावेश छन् र मार्च ३१, २०२५ सम्ममा पूरा गरिसक्नुपर्छ। अर्को शब्दमा, तयारी गर्न असफल हुनेहरूले कडा दण्डको सामना गर्न सक्छन्।
नयाँ आवश्यकताहरू अनुरूप गर्न, केही प्रमुख कार्यहरू समावेश छन्: फायरवालहरू र बलियो सुरक्षा प्रणालीहरू लागू गर्ने; डेटा प्रसारण र भण्डारणमा इन्क्रिप्शन प्रयोग गर्ने; शंकास्पद पहुँच र गतिविधिको निरन्तर निगरानी र ट्र्याक गर्ने; कमजोरीहरू पहिचान गर्न प्रक्रियाहरू र प्रणालीहरूको निरन्तर परीक्षण गर्ने; र कठोर सूचना सुरक्षा नीति सिर्जना गर्ने र कायम राख्ने।
व्यवहारमा, यसको अर्थ कार्ड भुक्तानीहरू ह्यान्डल गर्ने कुनै पनि कम्पनीले आफ्नो सम्पूर्ण डिजिटल सुरक्षा संरचनाको समीक्षा गर्नुपर्ने हुन्छ भन्ने कुरामा वाग्नर जोड दिन्छन्। यसमा प्रणालीहरू अद्यावधिक गर्ने, आन्तरिक नीतिहरूलाई सुदृढ पार्ने र जोखिमहरू कम गर्न टोलीहरूलाई तालिम दिने समावेश छ। "उदाहरणका लागि, एउटा ई-वाणिज्य कम्पनीले ग्राहकको डेटा एन्ड-टु-एन्ड इन्क्रिप्टेड छ र केवल अधिकृत प्रयोगकर्ताहरूले मात्र संवेदनशील जानकारीमा पहुँच राख्न सक्छन् भन्ने कुरा सुनिश्चित गर्नुपर्नेछ। अर्कोतर्फ, एउटा खुद्रा शृङ्खलाले सम्भावित ठगी प्रयास र डेटा चुहावटको लागि निरन्तर निगरानी गर्न संयन्त्रहरू लागू गर्नुपर्नेछ," उनी बताउँछन्।
बैंकहरू र फिनटेकहरूले बायोमेट्रिक्स र बहु-कारक प्रमाणीकरण जस्ता प्रविधिहरूको प्रयोग विस्तार गर्दै आफ्नो प्रमाणीकरण संयन्त्रलाई पनि बलियो बनाउनुपर्नेछ। "लक्ष्य भनेको ग्राहक अनुभवलाई सम्झौता नगरी लेनदेनहरूलाई अझ सुरक्षित बनाउनु हो। यसका लागि सुरक्षा र उपयोगिता बीच सन्तुलन आवश्यक छ, जुन हालका वर्षहरूमा वित्तीय क्षेत्रले सुधार गरिरहेको छ," उनले जोड दिए।
तर यो परिवर्तन किन यति महत्त्वपूर्ण छ? डिजिटल ठगी बढ्दो रूपमा परिष्कृत हुँदै गइरहेको छ भन्नु कुनै अतिशयोक्ति होइन। डाटा उल्लंघनले लाखौं डलरको क्षति र ग्राहकको विश्वासमा अपूरणीय क्षति पुर्याउन सक्छ।
वाग्नर एलियासले चेतावनी दिन्छन्: "धेरै कम्पनीहरूले अझै पनि प्रतिक्रियाशील दृष्टिकोण अपनाउँछन्, आक्रमण भएपछि मात्र सुरक्षाको बारेमा चिन्ता गर्छन्। यो व्यवहार चिन्ताजनक छ, किनकि सुरक्षा उल्लङ्घनले महत्त्वपूर्ण वित्तीय क्षति र संस्थाको प्रतिष्ठामा अपूरणीय क्षति निम्त्याउन सक्छ, जुन रोकथामका उपायहरूद्वारा बच्न सकिन्छ।"
यी जोखिमहरूबाट बच्नको लागि, नयाँ अनुप्रयोगको विकासको सुरुवातदेखि नै अनुप्रयोग सुरक्षा अभ्यासहरू अपनाउनु मुख्य कुरा हो भन्ने कुरामा उनी जोड दिन्छन्, जसले गर्दा सफ्टवेयर विकास चक्रको प्रत्येक चरणमा पहिले नै सुरक्षात्मक उपायहरू छन् भनी सुनिश्चित हुन्छ। यसले सफ्टवेयर जीवनचक्रको सबै चरणहरूमा सुरक्षात्मक उपायहरू लागू गरिएको सुनिश्चित गर्दछ, जुन घटना पछि क्षतिको उपचार भन्दा धेरै लागत-प्रभावी हुन्छ।"
यो विश्वव्यापी रूपमा बढ्दो प्रवृत्ति हो भन्ने कुरा ध्यान दिन लायक छ। मोर्डर इन्टेलिजेन्सका अनुसार, २०२४ मा ११.६२ अर्ब डलरको मूल्य रहेको एप्लिकेसन सुरक्षा बजार २०२९ सम्ममा २५.९२ अर्ब डलर पुग्ने अपेक्षा गरिएको छ।
वाग्नरले बताउँछन् कि DevOps जस्ता समाधानहरूले कोडको प्रत्येक लाइनलाई सुरक्षित अभ्यासहरू, प्रवेश परीक्षण र जोखिम न्यूनीकरण जस्ता सेवाहरूको अतिरिक्त विकास गर्न अनुमति दिन्छ। "निरन्तर सुरक्षा विश्लेषण र परीक्षण स्वचालन सञ्चालन गर्नाले कम्पनीहरूलाई दक्षतामा सम्झौता नगरी नियमहरूको पालना गर्न अनुमति दिन्छ," उनी जोड दिन्छन्।
यसबाहेक, यस प्रक्रियामा विशेष परामर्श सेवाहरू महत्त्वपूर्ण छन्, जसले कम्पनीहरूलाई नयाँ PCI DSS 4.0 आवश्यकताहरू अनुरूप अनुकूलन गर्न मद्दत गर्दछ। "सबैभन्दा बढी खोजिने सेवाहरूमध्ये पेनिट्रेशन टेस्टिङ, रेड टिम, र तेस्रो-पक्ष सुरक्षा मूल्याङ्कनहरू समावेश छन्, जसले अपराधीहरूले शोषण गर्नु अघि कमजोरीहरू पहिचान गर्न र सच्याउन मद्दत गर्दछ," उनी बताउँछन्।
डिजिटल ठगी बढ्दो रूपमा परिष्कृत हुँदै जाँदा, डेटा सुरक्षालाई बेवास्ता गर्नु अब विकल्प छैन। "निवारक उपायहरूमा लगानी गर्ने कम्पनीहरूले आफ्ना ग्राहकहरूको सुरक्षा सुनिश्चित गर्छन् र आफ्नो बजार स्थिति बलियो बनाउँछन्। नयाँ दिशानिर्देशहरू कार्यान्वयन गर्नु, सबैभन्दा माथि, सुरक्षित र थप भरपर्दो भुक्तानी वातावरण निर्माण गर्ने दिशामा एक आवश्यक कदम हो," उनले निष्कर्ष निकाले।
