Digitale beveiliging heeft nieuwe regels gekregen en bedrijven die kaartgegevens verwerken, moeten zich aanpassen. Met de komst van versie 4.0 van de Payment Card Industry Data Security Standard (PCI DSS), vastgesteld door de PCI Security Standards Council (PCI SSC), zijn de veranderingen ingrijpend en hebben ze directe gevolgen voor de bescherming van klantgegevens en de manier waarop betalingsgegevens worden opgeslagen, verwerkt en verzonden. Maar wat verandert er nu echt?
De belangrijkste verandering is de behoefte aan een nog hoger niveau van digitale beveiliging. Bedrijven zullen moeten investeren in geavanceerde technologieën zoals robuuste encryptie en multifactorauthenticatie. Deze methode vereist ten minste twee verificatiefactoren om de identiteit van een gebruiker te bevestigen voordat toegang wordt verleend tot systemen, applicaties of transacties. Dit maakt hacken moeilijker, zelfs als criminelen toegang krijgen tot wachtwoorden of persoonlijke gegevens.
Onder de gebruikte authenticatiefactoren vallen:
- Iets dat de gebruiker weet : wachtwoorden, pincodes of antwoorden op beveiligingsvragen.
- Iets dat de gebruiker heeft : fysieke tokens, sms-berichten met verificatiecodes, authenticatie-apps (zoals Google Authenticator) of digitale certificaten.
- Iets wat de gebruiker is : digitale, gezichts-, stem- of irisherkenningsbiometrie.
"Deze beschermingslagen maken ongeautoriseerde toegang veel moeilijker en zorgen voor een betere beveiliging van gevoelige gegevens", legt hij uit.
"Kortom, we moeten de bescherming van klantgegevens versterken door aanvullende maatregelen te nemen om ongeautoriseerde toegang te voorkomen", legt Wagner Elias, CEO van Conviso, een ontwikkelaar van applicatiebeveiligingsoplossingen, uit. "Het gaat niet langer om 'aanpassen wanneer nodig', maar om preventief handelen", benadrukt hij.
Volgens de nieuwe regels verloopt de implementatie in twee fasen: de eerste fase, met 13 nieuwe vereisten, had een deadline van maart 2024. De tweede, veeleisendere fase, omvat 51 extra vereisten en moet uiterlijk 31 maart 2025 zijn voltooid. Met andere woorden: wie zich niet voorbereidt, kan te maken krijgen met zware straffen.
Om aan de nieuwe vereisten te voldoen, zijn enkele belangrijke acties: het implementeren van firewalls en robuuste beveiligingssystemen; het gebruiken van encryptie bij gegevensoverdracht en -opslag; het continu monitoren en volgen van verdachte toegang en activiteiten; het continu testen van processen en systemen om kwetsbaarheden te identificeren; en het opstellen en handhaven van een strikt informatiebeveiligingsbeleid.
Wagner benadrukt dat dit in de praktijk betekent dat elk bedrijf dat kaartbetalingen verwerkt, zijn volledige digitale beveiligingsstructuur moet herzien. Dit omvat het updaten van systemen, het versterken van interne beleidsregels en het trainen van teams om risico's te minimaliseren. "Een e-commercebedrijf moet er bijvoorbeeld voor zorgen dat klantgegevens end-to-end versleuteld zijn en dat alleen geautoriseerde gebruikers toegang hebben tot gevoelige informatie. Een winkelketen daarentegen moet mechanismen implementeren om continu te monitoren op mogelijke fraudepogingen en datalekken", legt hij uit.
Banken en fintechs zullen ook hun authenticatiemechanismen moeten versterken en het gebruik van technologieën zoals biometrie en multifactorauthenticatie moeten uitbreiden. "Het doel is om transacties veiliger te maken zonder de klantervaring in gevaar te brengen. Dit vereist een balans tussen bescherming en gebruiksgemak, iets waar de financiële sector de afgelopen jaren aan heeft gewerkt", benadrukt hij.
Maar waarom is deze verandering zo belangrijk? Het is niet overdreven om te stellen dat digitale fraude steeds geavanceerder wordt. Datalekken kunnen leiden tot miljoenen dollars aan verliezen en onherstelbare schade aan het vertrouwen van klanten.
Wagner Elias waarschuwt: "Veel bedrijven hanteren nog steeds een reactieve aanpak en maken zich pas zorgen over de beveiliging nadat er een aanval heeft plaatsgevonden. Dit gedrag is zorgwekkend, aangezien beveiligingsinbreuken kunnen leiden tot aanzienlijke financiële verliezen en onherstelbare reputatieschade voor de organisatie. Dit had met preventieve maatregelen kunnen worden voorkomen."
Hij benadrukt verder dat het, om deze risico's te vermijden, essentieel is om vanaf het begin van de ontwikkeling van een nieuwe applicatie applicatiebeveiligingspraktijken toe te passen. Zo wordt ervoor gezorgd dat in elke fase van de softwareontwikkelingscyclus beschermende maatregelen zijn getroffen. Dit zorgt ervoor dat beschermende maatregelen in alle fasen van de softwarelevenscyclus worden geïmplementeerd, wat veel kosteneffectiever is dan het herstellen van schade na een incident.
Het is opmerkelijk dat dit wereldwijd een groeiende trend is. Volgens Mordor Intelligence zal de markt voor applicatiebeveiliging, die in 2024 een waarde van $ 11,62 miljard had, in 2029 naar verwachting $ 25,92 miljard bereiken.
Wagner legt uit dat oplossingen zoals DevOps het mogelijk maken om elke regel code te ontwikkelen met veilige werkwijzen, naast diensten zoals penetratietests en kwetsbaarheidsmitigatie. "Door continue beveiligingsanalyses en testautomatisering uit te voeren, kunnen bedrijven voldoen aan de regelgeving zonder dat dit ten koste gaat van de efficiëntie", benadrukt hij.
Bovendien zijn gespecialiseerde adviesdiensten belangrijk in dit proces, omdat ze bedrijven helpen zich aan te passen aan de nieuwe PCI DSS 4.0-vereisten. "Tot de meest gewilde diensten behoren penetratietests, Red Team en beveiligingsbeoordelingen door derden, die helpen kwetsbaarheden te identificeren en te corrigeren voordat ze door criminelen kunnen worden uitgebuit", legt hij uit.
Nu digitale fraude steeds geavanceerder wordt, is het negeren van gegevensbeveiliging geen optie meer. "Bedrijven die investeren in preventieve maatregelen, zorgen voor de bescherming van hun klanten en versterken hun marktpositie. De implementatie van de nieuwe richtlijnen is bovenal een essentiële stap in de richting van een veiligere en betrouwbaardere betaalomgeving", concludeert hij.
