Digitale veiligheid heeft net nieuwe regels gekregen en bedrijven die kaartgegevens verwerken moeten zich aanpassen. Met de komst van versie 4.0 van de Betalingskaartgegevensbeveiligingsnorm (PCI DSS), vastgesteld door de PCI Security Standards Council (PCI SSC), de veranderingen zijn belangrijk en hebben directe impact op de bescherming van klantgegevens en hoe betalingsgegevens worden opgeslagen, verwerkt en verzonden. Maar, uiteindelijk, wat verandert er echt
De belangrijkste verandering is de noodzaak van een nog hoger niveau van digitale beveiliging. De bedrijven zullen moeten investeren in geavanceerde technologieën, zoals robuuste cryptografie en multi-factor authenticatie. Deze methode vereist ten minste twee verificatiefactoren om de identiteit van de gebruiker te bevestigen voordat toegang tot systemen wordt verleend, applicaties of transacties, het bemoeilijken van invasies, ook al hebben criminelen toegang tot wachtwoorden of persoonlijke gegevens
Onder de gebruikte authenticatiefactoren zijn:
- Iets dat de gebruiker weetwachtwoorden, PINs of antwoorden op beveiligingsvragen
- Iets dat de gebruiker heeftfysieke tokens, SMS met verificatiecodes, authenticatie-apps (zoals Google Authenticator) of digitale certificaten
- Iets dat de gebruiker isdigitale biometrie, gezichts-, stemherkenning of iris
"Deze beschermingslagen maken ongeautoriseerde toegang veel moeilijker en zorgen voor een grotere veiligheid van gevoelige gegevens", leg uit
Samengevat, het is nodig om de bescherming van klantgegevens te versterken, het implementeren van aanvullende maatregelen om ongeautoriseerde toegang te voorkomen, leg uit Wagner Elias, CEO van Conviso, ontwikkelaar van oplossingen voor applicatieveiligheid. "Het is niet langer een kwestie van 'zich aanpassen wanneer dat nodig is'", meer om preventief te handelen, hoogtepunten
Volgens de nieuwe regels, de implementatie vindt plaats in twee fasen: de eerste, met 13 nieuwe vereisten, de deadline was in maart 2024. De tweede fase, maar veeleisender, inclusief 51 aanvullende vereisten en zou moeten worden nageleefd tot 31 maart 2025. Dat wil zeggen,wie zich niet heeft voorbereid kan zware straffen ondervinden
Om zich aan te passen aan de nieuwe eisen, enkele van de belangrijkste acties zijn: implementerenfirewallsen robuuste beschermingssystemen; gebruik maken van cryptografie bij de overdracht en opslag van gegevens; continuously monitor and track access and suspicious activities; processen en systemen voortdurend testen om kwetsbaarheden te identificeren; een strikte informatiebeveiligingsbeleid creëren en handhaven
Wagner benadrukt dat, in de praktijk, dit betekent dat elk bedrijf dat met kaartbetalingen werkt zijn hele digitale beveiligingsstructuur moet herzien. Dit omvat het bijwerken van systemen, interne beleidsmaatregelen versterken en teams trainen om risico's te minimaliseren. Bijvoorbeeld, een e-commerce moet ervoor zorgen dat de klantgegevens end-to-end zijn versleuteld en dat alleen geautoriseerde gebruikers toegang hebben tot gevoelige informatie. Een detailhandel zal mechanismen moeten implementeren om voortdurend mogelijke pogingen tot fraude en datalekken te monitoren, geef een voorbeeld
De banken en fintechs zullen ook hun authenticatiemechanismen moeten versterken, het gebruik van technologieën zoals biometrie en multi-factor authenticatie uitbreiden. "Het doel is om transacties veiliger te maken zonder de klantervaring in gevaar te brengen". Dit vereist een balans tussen bescherming en bruikbaarheid, iets dat de financiële sector de afgelopen jaren al aan het verbeteren is, hoogtepunten
Maar, waarom deze verandering zo belangrijk is? Het is geen overdrijving te zeggen dat digitale fraude steeds geavanceerder wordt. Datalekken kunnen leiden tot miljoenenverliezen en onherstelbare schade aan het vertrouwen van klanten.
Wagner Elias waarschuwt: “veel bedrijven hebben nog steeds een reactieve houding, alleen bezorgd zijn om veiligheid nadat een aanval heeft plaatsgevonden. Dit gedrag is zorgwekkend, want beveiligingslekken kunnen leiden tot aanzienlijke financiële verliezen en onherstelbare schade aan de reputatie van de organisatie, die vermeden hadden kunnen worden met preventieve maatregelen
Hij benadrukt ook dat om deze risico's te vermijden, het grote verschil is het aannemen van Application Security (Applicatiebeveiliging) praktijken vanaf het begin van de ontwikkeling van de nieuwe applicatie, zorgend dat elke fase van de softwareontwikkelingscyclus al beschermingsmaatregelen heeft. Dit garandeert de invoering van beschermingsmaatregelen in alle fasen van de levenscyclus van de software, veel voordeliger dan het herstellen van de schade na een incident
Het is belangrijk te onthouden dat dit een trend is die wereldwijd in opkomst is. De markt voor applicatieveiligheid, die US$ 11 in beweging brengt,62 miljard in 2024, moet 25 USD bereiken,92 miljard tot 2029, volgens Mordor Intelligence
Wagner legt uit dat oplossingen zoals DevOps, laten dat elke regel code wordt ontwikkeld met beschermingspraktijken, naast diensten zoals penetratietests en kwetsbaarheidsmitigatie. Continue analyses van veiligheid en automatisering van tests stellen bedrijven in staat om aan de normen te voldoen zonder de efficiëntie in gevaar te brengen, hoogtepunten
Bovendien, gespecialiseerde adviesbureaus zijn belangrijk in dit proces, bedrijven helpen zich aan te passen aan de nieuwe eisen van PCI DSS 4.0. "Onder de meest gevraagde diensten zijn Penetration Testing", Red Team en beoordelingen van de beveiliging van derden, die helpen bij het identificeren en corrigeren van kwetsbaarheden voordat ze door criminelen kunnen worden uitgebuit, rekening
Met steeds geavanceerdere digitale fraude, het negeren van gegevensbeveiliging is geen optie meer. Bedrijven die investeren in preventieve maatregelen waarborgen de bescherming van hun klanten en versterken hun positie op de markt. Het implementeren van de nieuwe richtlijnen is, vooral, een essentiële stap om een veiligere en betrouwbaardere betalingsomgeving te creëren, conclude
