I Brasil, hvor kredittkort er en av de viktigste betalingsmetodene og digitale data har en verdi som tilsvarer kontanter, blir risikoen for nettfraud stadig mer tilstedeværende, noe som krever ekstra oppmerksomhet fra forbrukere og bedrifter.
For å få en idé om omfanget av problemet, har fire av ti brasilianere allerede vært ofre for svindel og økonomisk bedrageri i landet, noe som utgjør 42 % av brasilianerne. Dataene er fra "Digital Identitet og Bedrageri Rapport 2024", en undersøkelse utført av Serasa Experian.
En annen studie, nå fra Den nasjonale konfederasjonen av butikkledere (CNDL) og Kredittbeskyttelsestjenesten (SPC Brasil), i samarbeid med Sebrae, viser at rundt 8,4 millioner forbrukere har rapportert svindel i finansinstitusjoner de siste 12 månedene. Blant svindel, er kopiering av kreditt- og debetkort den vanligste typen svindel.
Selv om omtrent 70 % av brasilianerne har tre eller flere kort, ifølge Serasa, er risikoforståelsen fortsatt lav. Omtrent 69 % av brasilianerne undervurderer fortsatt faren ved å registrere finansielle data på nettsteder og apper, noe som utsetter en stor del av befolkningen for digitale svindler og cyberangrep.
Midt i den økende varslingen om digital sikkerhet, kommer gode nyheter: nye initiativer og teknologiske fremskritt gjør det online miljøet tryggere hver dag.
Nylig foreslo PCI Security Standards Council (PCI SSC) nye retningslinjer for kontinuerlig utvikling og forbedring av sikkerhetsstandarder, som gjelder for selskaper som lagrer, behandler eller overfører betalingsdata, samt for utviklere og produsenter av programvare og enheter brukt i transaksjoner. PCI er en global organisasjon som samler de viktigste aktørene i betalingsindustrien for å fremme bruk av ressurser til sikre transaksjoner.
Etter hvert som truslene og teknologien utvikler seg, oppdateres også PCI DSS-kravene. Derfor er det viktig å være oppmerksom på de nye kravene og gjøre de nødvendige tilpasningene, advarer Wagner Elias, administrerende direktør i Conviso, en utvikler av applikasjonssikkerhetsløsninger.
Blant oppdateringene er de for Data Security Standard for Payment Card Industry (PCI DSS), opprettet for å beskytte hele verdikjeden for kortbetalinger. Dine samsvars krav dekker alt fra lagring av kortinnehaveres data til sikkerhet ved tilgang til sensitiv betalingsinformasjon.
Kort sagt må beskyttelsen av kundedata styrkes ved å implementere ytterligere tiltak for å forhindre uautorisert tilgang, sier eksperten.
Dermed må bedriftene tilpasse seg og investere i ny teknologi. For å få en idé, er noen av disse løsningene i stand til å gi en fullstendig oversikt over risikoene knyttet til hver applikasjon. Disse verktøy integrerer ulike systemer, sentraliserer informasjon og hjelper med prioritering av tiltak, alt på en kontinuerlig måte, forklarer administrerende direktør i Conviso om deres plattform Conviso Platform Application Security Posture Management (ASPM), lansert i 2010.
Imidlertid påpeker eksperten at mange selskaper fortsatt har en reaktiv holdning til systemenes sikkerhet, og prioriterer temaet først etter å ha blitt utsatt for et angrep. Denne oppførselen er, ifølge ham, bekymringsfull fordi sikkerhetsfeil kan føre til betydelige økonomiske tap og uopprettelige skader på organisasjonens omdømme, noe som kunne vært unngått med forebyggende tiltak.
For ham, når han vurderer å utvikle ny programvare, er det viktig at selskapet integrerer sikkerhet i hver fase av utviklingssyklusen, fra kravinnsamling (første fase som analyserer hva appen skal gjøre) til deploy (produksjon og endelig levering).
For å unngå disse risikoene, er den store forskjellen å adoptere praksiser for Application Security (Sikkerhet for applikasjoner) fra starten av utviklingen av den nye applikasjonen. Dette sikrer innføring av beskyttelsestiltak i alle faser av programvarens livssyklus. I tillegg til å være betydelig mer økonomisk enn å utbedre skader etter en hendelse, er investering i forebyggende sikkerhet mye mer effektivt. Dette gjør det mulig å forhindre angrep, beskytte sensitive data, sikre overholdelse av lover og retningslinjer, og sørge for at applikasjonen er trygg og pålitelig for brukerne fra starten av, sier eksperten.
Wagner forklarer at selskapet utvikler løsninger som integrerer sikkerhet i DevOps, slik at hver linje med kode utvikles med beskyttelsespraksiser, i tillegg til tjenester som penetrasjonstesting og sårbarhetsmitigering. Å utføre kontinuerlige sikkerhets- og testautomatiseringsanalyser gjør det mulig for selskaper å overholde standarder uten å gå på bekostning av effektiviteten, fremhever Wagner.
I tillegg til implementeringen av robuste teknologier, legger administrerende direktør i Conviso vekt på viktigheten av spesialiserte konsulenttjenester, som hjelper selskaper med å tilpasse seg kravene i PCI DSS 4.0 og andre forskrifter. Offensive tjenester som Penetration Testing, Red Team og tredjeparts sikkerhetsvurderinger fremmer en proaktiv og helhetlig sikkerhetsstrategi, ved å identifisere og rette opp sårbarheter før de kan utnyttes.
Investeringer bør akselerere
Denne transformasjonen innen digital sikkerhet styrker ikke bare forbrukernes tillit til et trygt online miljø, men følger også den raske veksten i applikasjonssikkerhetsmarkedet, som forventes å vokse fra 11,62 milliarder dollar i 2024 til 25,92 milliarder dollar innen 2029, ifølge Mordor Intelligence. "Implementering av avansert teknologi markerer et vendepunkt i digital beskyttelse og styrker tilliten i et marked som, mer enn noen gang, er avhengig av sikkerhet for å blomstre," konkluderer Wagner.
Sjekk listen over de 12 kravene i PCI DSS som samsvarsvurderingen 4.0 må oppfylle:
- Installere og vedlikeholde en brannmur
- Fjern standardleverandørinnstillingen
- Beskytt de lagrede dataene til kortinnehaveren
- Kryptere betalingsdataoverføringen
- Oppdater antivirusprogramvaren jevnlig
- Implementere sikre systemer og applikasjoner
- Begrense tilgangen til kortinnehaverens data etter behov
- Tildele brukertilgangsidentifikasjon
- Begrense den fysiske tilgangen til dataene
- Spore og overvåke nettverkstilgangen
- Kontinuerlig testing av prosesser og systemer for å finne sårbarheter
- Opprette og opprettholde en infosec-politikk
Implementeringen av retningslinjene for PCI DSS 4.0 blir gjort i to faser:
- Den første fase, med 13 nye krav, hadde siste frist 31. mars 2024.
- Den andre fasen, med 51 tilleggskrav, skal implementeres innen 31. mars 2025.
