PCI verhardt regels en e-commerce heeft een hoger beveiligingsniveau nodig

Digitale beveiliging heeft zojuist nieuwe regels gekregen en bedrijven die kaartgegevens verwerken moeten zich aanpassen Met de komst van versie 4.0 van de Payment Card Industry Data Security Standard (PCI DSS), opgesteld door de PCI Security Standards Council (PCI SSC), zijn de wijzigingen belangrijk en hebben ze rechtstreeks invloed op de bescherming van klantgegevens en de manier waarop betalingsgegevens worden opgeslagen, verwerkt en verzonden Maar wat verandert er tenslotte echt?

De belangrijkste verandering is de behoefte aan een nog hoger niveau van digitale beveiliging Ondernemingen zullen moeten investeren in geavanceerde technologieën zoals robuuste encryptie en multi-factor authenticatie.Deze methode vereist ten minste twee verificatiefactoren om de identiteit van de gebruiker te bevestigen voordat toegang wordt verleend tot systemen, applicaties of transacties, waardoor het voor aanvallers moeilijk wordt om te hacken, zelfs als criminelen toegang hebben tot wachtwoorden of persoonlijke gegevens.

Onder de gebruikte authenticatiefactoren zijn

• Iets wat de gebruiker weet: wachtwoorden, pincodes of antwoorden op beveiligingsvragen.
• Iets wat de gebruiker heeft: fysieke tokens, SMS met verificatiecodes, authenticatie van applicaties (zoals Google Authenticator) of digitale certificaten.
• Iets wat de gebruiker is: digitaal, gezichtsbiometrie, stem- of irisherkenning.

“Deze beschermingslagen maken ongeautoriseerde toegang veel moeilijker en zorgen voor meer veiligheid voor SENT-gegevens, legt hij uit.

“Kortom, we moeten de bescherming van klantgegevens versterken door aanvullende maatregelen te implementeren om ongeautoriseerde toegang te voorkomen”, legt Wagner Elias uit, CEO van Conviso, ontwikkelaar van oplossing voor applicatiebeveiliging. “Het is niet langer een kwestie van “ aanpassen wanneer het nodig is om te”, maar om preventief te handelen”, benadrukt hij.

Volgens de nieuwe regels verloopt de implementatie in twee fasen: de eerste, met 13 nieuwe eisen, had de deadline in maart 2024, al de tweede fase, veeleisender, omvat 51 extra eisen en moet worden voldaan tegen 31 maart 2025 Dat wil zeggen, degenen die zich niet hebben voorbereid kunnen zware straffen krijgen.

Om aan de nieuwe eisen te voldoen, zijn enkele van de belangrijkste acties onder meer: implementeren firewalls robuuste beveiligingssystemen; gebruik encryptie bij gegevensoverdracht en - opslag; voortdurend verdachte toegang en activiteit monitoren en volgen; voortdurend processen en systemen testen om kwetsbaarheden te identificeren; een strikt informatiebeveiligingsbeleid creëren en onderhouden.

Wagner wijst erop dat dit in de praktijk betekent dat elk bedrijf dat kaartbetalingen afhandelt zijn volledige digitale beveiligingsstructuur zal moeten herzien. Dit omvat het bijwerken van systemen, het handhaven van intern beleid en het trainen van teams om risico's te minimaliseren. “ Een e-commerce zal er bijvoorbeeld voor moeten zorgen dat klantgegevens end-to-end worden gecodeerd en dat alleen geautoriseerde gebruikers toegang hebben tot gevoelige informatie. Een retailnetwerk zal nu al mechanismen moeten implementeren om mogelijke fraudepogingen en datalekken voortdurend te monitoren, illustreert hij.

Banken en fintechs zullen ook hun authenticatiemechanismen moeten versterken, door het gebruik van technologieën zoals biometrie en multifactorauthenticatie uit te breiden.“O heeft tot doel transacties veiliger te maken zonder de klantervaring in gevaar te brengen.Dit vereist een evenwicht tussen bescherming en bruikbaarheid, iets dat de financiële sector de afgelopen jaren al heeft verbeterd. hij wijst erop.

Maar waarom is deze verandering zo belangrijk? het is niet overdreven om te zeggen dat digitale fraude steeds geavanceerder wordt Datalekken kunnen resulteren in miljonairverliezen en onherstelbare schade aan het vertrouwen van klanten. 

Wagner Elias waarschuwt: “veel bedrijven nemen nog steeds een reactieve houding aan, zich pas zorgen maken over de veiligheid nadat een aanval heeft plaatsgevonden Dit gedrag is zorgwekkend, omdat veiligheidsfouten aanzienlijke financiële verliezen en onherstelbare schade aan de reputatie van de organisatie kunnen veroorzaken, wat met preventieve maatregelen zou kunnen worden vermeden”.

Hij wijst er ook op dat om deze risico's te vermijden, het grote verschil is om Application Security (Application Security) - praktijken vanaf het begin van de ontwikkeling van de nieuwe applicatie toe te passen, waarbij ervoor wordt gezorgd dat elke fase van de softwareontwikkelingscyclus al beschermingsmaatregelen kent Dit zorgt voor de invoeging van beschermingsmaatregelen in alle fasen van de levenscyclus van de software, wat veel economischer is dan het herstellen van de schade na een an”.

De markt voor applicatiebeveiliging, die in 2024 US$ 11,62 miljard verplaatst, zal volgens Mordor Intelligence naar verwachting in 2029 US$ 25,92 miljard bereiken.

Wagner legt uit dat oplossingen zoals DevOps het mogelijk maken dat elke coderegel wordt ontwikkeld met beschermingspraktijken, evenals diensten zoals penetratietesten en beperking van kwetsbaarheid.“Performance-analyse van beveiliging en testautomatisering stelt bedrijven in staat aan normen te voldoen zonder de efficiëntie van on” in gevaar te brengen.

Daarnaast is gespecialiseerd advies belangrijk in dit proces, waardoor bedrijven zich kunnen aanpassen aan de nieuwe vereisten van PCI DSS 4.0.“. Tot de meest gewilde diensten behoren penetratietesten, Red Team en beveiligingsbeoordelingen van derden, die helpen kwetsbaarheden te identificeren en te corrigeren voordat ze kunnen worden uitgebuit door V.I.T.S. criminelen, zegt hij.

Met digitale fraudes die steeds geavanceerder worden, is het negeren van gegevensbeveiliging geen optie meer. “Bedrijven die investeren in preventieve maatregelen zorgen voor de bescherming van hun klanten en versterken hun positie op de markt Het implementeren van de nieuwe richtlijnen is in de eerste plaats een essentiële stap om een veiliger en betrouwbaarder betaalklimaat te creëren, concludeert.