De digitale beveiliging heeft zojuist nieuwe regels gekregen en bedrijven die kaartgegevens verwerken, moeten zich aanpassen. Met de komst van versie 4.0 van de Data Security Standard voor de Betalingskaartensector (PCI DSS), vastgesteld door de PCI Security Standards Council (PCI SSC), zijn de veranderingen belangrijk en hebben ze directe invloed op de bescherming van klantgegevens en hoe betalingsgegevens worden opgeslagen, verwerkt en verzonden. Maar wat verandert er uiteindelijk echt?
De belangrijkste verandering is de noodzaak van een nog hoger niveau van digitale beveiliging. De bedrijven zullen moeten investeren in geavanceerde technologieën, zoals robuuste encryptie en multi-factor authenticatie. Deze methode vereist minstens twee verificatiefactoren om de identiteit van de gebruiker te bevestigen voordat toegang wordt verleend tot systemen, applicaties of transacties, waardoor inbraken worden bemoeilijkt, zelfs als criminelen toegang hebben tot wachtwoorden of persoonlijke gegevens.
Onder de gebruikte authenticatiefactoren zijn:
- Iets dat de gebruiker weetwachtwoorden, PIN-codes of antwoorden op beveiligingsvragen.
- Iets dat de gebruiker heeftfysieke tokens, SMS met verificatiecodes, authenticatie-apps (zoals Google Authenticator) of digitale certificaten.
- Iets dat de gebruiker isdigitale biometrie, gezichtsherkenning, stemherkenning of irisherkenning
"Deze beschermlagen maken ongeautoriseerde toegang veel moeilijker en zorgen voor een grotere veiligheid van gevoelige gegevens," legt hij uit.
Kortom, het is noodzakelijk om de bescherming van de gegevens van klanten te versterken door aanvullende maatregelen te implementeren om ongeautoriseerde toegang te voorkomen, legt Wagner Elias uit, CEO van Conviso, ontwikkelaar van oplossingen voor applicatiebeveiliging. "Het is niet meer een kwestie van 'je aanpassen wanneer het nodig is', maar van proactief handelen," benadrukt hij.
Volgens de nieuwe regels vindt de implementatie plaats in twee fasen: de eerste, met 13 nieuwe vereisten, had de deadline in maart 2024. De tweede fase, die veeleisender is, omvat 51 aanvullende vereisten en moet uiterlijk op 31 maart 2025 worden voltooid. Dat wil zeggen, wie zich niet voorbereidt, kan zware straffen krijgen.
Om aan de nieuwe eisen te voldoen, omvatten enkele van de belangrijkste acties: implementerenfirewallsen robuuste beveiligingssystemen; encryptie gebruiken bij gegevensoverdracht en opslag; voortdurend toezicht houden op en traceren van verdachte toegang en activiteiten; processen en systemen voortdurend testen om kwetsbaarheden te identificeren; een strikte informatiebeveiligingsbeleid opstellen en handhaven.
Wagner benadrukt dat dit in de praktijk betekent dat elk bedrijf dat met kaartbetalingen te maken heeft, zijn hele digitale beveiligingsstructuur moet herzien. Dit omvat het bijwerken van systemen, het versterken van interne beleidslijnen en het trainen van teams om risico's te minimaliseren. “ Bijvoorbeeld, een e-commerce zal moeten zorgen dat klantgegevens end-to-end versleuteld zijn en dat alleen geautoriseerde gebruikers toegang hebben tot gevoelige informatie. Een detailhandelketen zal mechanismen moeten implementeren om voortdurend mogelijke fraude- en datalekken te monitoren,” illustreert.
De banken en fintechs zullen ook hun authenticatiemechanismen moeten versterken, door het gebruik van technologieën zoals biometrie en multi-factor authenticatie uit te breiden. Het doel is om de transacties veiliger te maken zonder de klantervaring te compromitteren. Dit vereist een evenwicht tussen bescherming en gebruiksvriendelijkheid, iets dat de financiële sector de afgelopen jaren al heeft verbeterd, benadrukt hij.
Maar waarom is deze verandering zo belangrijk? Het is geen overdrijving te zeggen dat digitale fraude steeds geavanceerder wordt. Datalekken kunnen leiden tot miljoenenverliezen en onherstelbare schade aan het vertrouwen van klanten.
Wagner Elias waarschuwt: "Veel bedrijven nemen nog steeds een reactieve houding aan, zich pas zorgen makend over veiligheid nadat een aanval heeft plaatsgevonden. Dit gedrag is zorgwekkend, omdat beveiligingsfouten aanzienlijke financiële verliezen en onherstelbare schade aan de reputatie van de organisatie kunnen veroorzaken, die voorkomen hadden kunnen worden met preventieve maatregelen."
Hij benadrukt ook dat om deze risico's te vermijden, het grote verschil ligt in het toepassen van Application Security-praktijken vanaf het begin van de ontwikkeling van de nieuwe applicatie, zodat elke fase van de softwareontwikkelingscyclus al beveiligingsmaatregelen bevat. Dit garandeert de invoering van beschermmaatregelen in alle fasen van de levenscyclus van de software, wat veel kosteneffectiever is dan het herstellen van de schade na een incident.
Het is goed om te onthouden dat dit een trend is die wereldwijd groeit. De markt voor applicatiebeveiliging, die in 2024 11,62 miljard dollar bedraagt, zal volgens Mordor Intelligence groeien tot 25,92 miljard dollar in 2029.
Wagner legt uit dat oplossingen zoals DevOps ervoor zorgen dat elke regel code wordt ontwikkeld met beschermingspraktijken, naast diensten zoals inbraaktests en kwetsbaarheidsmitigatie. Het uitvoeren van continue beveiligings- en testautomatiseringsanalyses stelt bedrijven in staat om aan de normen te voldoen zonder de efficiëntie te compromitteren, benadrukt hij.
Bovendien zijn gespecialiseerde adviesbureaus belangrijk in dit proces, omdat ze bedrijven helpen zich aan te passen aan de nieuwe eisen van PCI DSS 4.0. "Onder de meest gezochte diensten zijn Penetration Testing, Red Team en derdenveiligheidsbeoordelingen, die helpen bij het identificeren en corrigeren van kwetsbaarheden voordat criminelen ze kunnen exploiteren," vertelt hij.
Met steeds geavanceerdere digitale fraude, is het negeren van gegevensbeveiliging geen optie meer. Bedrijven die investeren in preventieve maatregelen zorgen voor de bescherming van hun klanten en versterken hun positie op de markt. Het implementeren van de nieuwe richtlijnen is vooral een essentiële stap om een veiliger en betrouwbaarder betaalomgeving te creëren, concludeert hij.
