In Brazilië, waar creditcards een van de belangrijkste betaalmiddelen zijn en digitale gegevens een waarde hebben die vergelijkbaar is met contant geld, worden de risico's van online fraude steeds prominenter, wat extra waakzaamheid vereist van consumenten en bedrijven.
Om een idee te krijgen van de omvang van het probleem, zijn vier op de tien Brazilianen al slachtoffer geweest van oplichterijen en financiële fraude in het land, wat 42% van de Brazilianen vertegenwoordigt. De gegevens zijn afkomstig uit het "Rapport over Digitale Identiteit en Fraude 2024", een onderzoek uitgevoerd door Serasa Experian.
Een andere studie, nu van de Nationale Confederatie van Winkelbestuurders (CNDL) en de Kredietbeschermingsdienst (SPC Brasil), in samenwerking met Sebrae, toont aan dat ongeveer 8,4 miljoen consumenten in de afgelopen 12 maanden fraude hebben gemeld bij financiële instellingen. Onder de oplichterijen is het klonen van creditcards en debetkaarten de belangrijkste vorm van fraude.
Hoewel ongeveer 70% van de Brazilianen drie of meer kaarten bezit, zoals blijkt uit Serasa, is het risicobewustzijn nog steeds laag. Ongeveer 69% van de Brazilianen onderschatten nog steeds het gevaar van het registreren van financiële gegevens op websites en apps, waardoor een groot deel van de bevolking blootgesteld wordt aan digitale oplichterijen en cyberaanvallen.
Te midden van de toenemende waakzaamheid over digitale veiligheid, verschijnen goed nieuws: nieuwe initiatieven en technologische vooruitgang maken de online omgeving elke dag veiliger.
Onlangs heeft de PCI Security Standards Council (PCI SSC) nieuwe richtlijnen voorgesteld voor de voortdurende ontwikkeling en verbetering van de beveiligingsnormen, die van toepassing zijn op bedrijven die betalingsgegevens opslaan, verwerken of verzenden, evenals op ontwikkelaars en fabrikanten van software en apparaten die worden gebruikt bij transacties. De PCI is een wereldwijde organisatie die de belangrijkste actoren in de betaalindustrie samenbrengt om het gebruik van middelen voor veilige transacties te stimuleren.
Naarmate de bedreigingen en technologie evolueren, worden ook de PCI DSS-standaarden bijgewerkt. Daarom is het nu belangrijk om alert te blijven op de nieuwe eisen en de nodige aanpassingen door te voeren, waarschuwt Wagner Elias, CEO van Conviso, ontwikkelaar van oplossingen voor applicatiebeveiliging.
Onder de updates bevinden zich die van de PCI DSS (Payment Card Industry Data Security Standard), opgesteld om de hele waardeketen van kaartbetalingen te beschermen. Uw nalevingsvereisten omvatten alles van het opslaan van gegevens van kaarthouders tot de beveiliging van toegang tot gevoelige betalingsinformatie.
Kortom, het is noodzakelijk om de bescherming van de klantgegevens te versterken door aanvullende maatregelen te nemen om ongeautoriseerde toegang te voorkomen, zegt de specialist.
Zo zullen bedrijven zich moeten aanpassen en investeren in nieuwe technologieën. Om een idee te krijgen, kunnen sommige van deze oplossingen een volledig overzicht bieden van de risico's die verband houden met elke applicatie. Deze tools integreren verschillende systemen, centraliseren informatie en helpen bij het prioriteren van acties, allemaal op een continue manier, legt de CEO van Conviso uit over zijn platform Conviso Platform Application Security Posture Management (ASPM), gelanceerd in 2010.
No entanto, o especialista destaca que muitas empresas ainda adotam uma postura reativa em relação à segurança de seus sistemas, priorizando o tema apenas após sofrerem um ataque. Dit gedrag is volgens hem zorgwekkend, omdat beveiligingsfouten aanzienlijke financiële verliezen en onherstelbare schade aan de reputatie van de organisatie kunnen veroorzaken, wat voorkomen had kunnen worden met preventieve maatregelen.
Voor hem is het essentieel dat het bedrijf bij het creëren van nieuwe software veiligheid integreert in elke fase van de ontwikkelingscyclus, van het verzamelen van vereisten (de eerste fase die analyseert wat de app zal doen) tot de deployment (productie en uiteindelijke levering).
"Om deze risico's te voorkomen, is de grote differentiator het toepassen van Application Security-praktijken vanaf het begin van de ontwikkeling van de nieuwe applicatie. Dit zorgt voor de integratie van beschermingsmaatregelen in alle fasen van de levenscyclus van de software. Daarnaast is het aanzienlijk goedkoper dan het herstellen van schade na een incident, en is investeren in preventieve beveiliging veel effectiever. Dit stelt u in staat om aanvallen te voorkomen, gevoelige gegevens te beschermen, te voldoen aan wet- en regelgeving en richtlijnen, en ervoor te zorgen dat de applicatie vanaf het begin veilig en betrouwbaar is voor gebruikers," zegt de expert.
Wagner legt uit dat het bedrijf oplossingen ontwikkelt die veiligheid integreren in DevOps, waardoor elke regel code wordt ontwikkeld met beschermingspraktijken, naast diensten zoals penetratietests en kwetsbaarheidsmitigatie. Het uitvoeren van voortdurende beveiligingsanalyses en geautomatiseerde tests stelt bedrijven in staat om aan de normen te voldoen zonder de efficiëntie te compromitteren, benadrukt Wagner.
Naast de implementatie van robuuste technologieën benadrukt de CEO van Conviso het belang van gespecialiseerde adviesbureaus, die bedrijven helpen zich aan te passen aan de eisen van PCI DSS 4.0 en andere regelgeving. Offensieve diensten zoals Penetration Testing, Red Team en derde partij beveiligingsbeoordelingen bevorderen een proactieve en uitgebreide beveiligingsaanpak, door kwetsbaarheden te identificeren en te corrigeren voordat ze kunnen worden uitgebuit.
Investeringen moeten versnellen
Deze transformatie in digitale beveiliging versterkt niet alleen het vertrouwen van consumenten in een veilige online omgeving, maar volgt ook de versnelde groei van de applicatiebeveiligingsmarkt, die volgens Mordor Intelligence zal groeien van $11,62 miljard in 2024 tot $25,92 miljard in 2029. "Het implementeren van geavanceerde technologie markeert een keerpunt in digitale beveiliging en versterkt het vertrouwen in een markt die, meer dan ooit, afhankelijk is van veiligheid om te gedijen," concludeert Wagner.
Bekijk de lijst van de 12 vereisten van PCI DSS waaraan de conformiteitscontrole 4.0 moet voldoen:
- Een firewall installeren en onderhouden
- Verwijder de standaardconfiguratie van de leverancier
- De gegevens van de kaarthouder beschermen
- Versleutelen van de betalingstransmissiegegevens
- Regelmatig de antivirussoftware bijwerken
- Veilige systemen en applicaties implementeren
- Beperk de toegang tot de gegevens van de kaarthouder indien nodig
- Toewijzen van gebruikers toegang identificatie
- Fysieke toegang tot de gegevens beperken
- Netwerktoegang traceren en monitoren
- Processen en systemen continu testen op zoek naar kwetsbaarheden
- Een informatiebeveiligingsbeleid opstellen en onderhouden
De implementatie van de richtlijnen van PCI DSS 4.0 wordt in twee fasen uitgevoerd:
- De eerste fase, met 13 nieuwe vereisten, had als deadline 31 maart 2024.
- De tweede fase, met 51 aanvullende vereisten, moet worden geïmplementeerd vóór 31 maart 2025.
