Den digital sikkerhet har nettopp fått nye regler, og selskapene som behandler kortdata må tilpasse seg. Med ankomsten av versjon 4.0 av Payment Card Industry Data Security Standard (PCI DSS), etablert av PCI Security Standards Council (PCI SSC), er endringene viktige og påvirker direkte beskyttelsen av kundedata og hvordan betalingsdata lagres, behandles og overføres. Men, hva endrer seg egentlig?
Den største endringen er behovet for et enda høyere nivå av digital sikkerhet. Bedriften må investere i avanserte teknologier, som robust kryptografi og flerfaktorautentisering. Denne metoden krever minst to verifiseringsfaktorer for å bekrefte brukerens identitet før tilgang gis til systemer, applikasjoner eller transaksjoner, noe som gjør innbrudd vanskeligere, selv om kriminelle har tilgang til passord eller personopplysninger.
Blant de autentiseringsfaktorene som brukes er:
- Noe som brukeren vetpassord, PIN-koder eller svar på sikkerhetsspørsmål.
- Noe som brukeren harfysiske tokens, SMS med verifikasjonskoder, autentiseringsapper (som Google Authenticator) eller digitale sertifikater.
- Noe som brukaren erdigital biometrikk, ansikts-, stemmegjenkjenning eller iris.
"Disse at beskytte lag gjør uautorisert tilgang mye vanskeligere og sikrer større sikkerhet for sensitive data."
Kort sagt må beskyttelsen av kundedata styrkes ved å implementere ytterligere tiltak for å forhindre uautorisert tilgang, forklarer Wagner Elias, administrerende direktør i Conviso, en utvikler av løsninger for applikasjonssikkerhet. "Det er ikke lenger et spørsmål om å 'tilpasse seg når det er nødvendig', men om å handle forebyggende," fremhever han.
I henhold til de nye regler skjer implementeringen i to faser: den første, med 13 nye krav, hadde fristen i mars 2024. Den andre fasen, som er mer krevende, inkluderer 51 tilleggskrav og skal være oppfylt innen 31. mars 2025. Det betyr at de som ikke forbereder seg, kan møte strenge straffer.
For å imøtekomme de nye kravene, inkluderer noen av de viktigste tiltakene: implementerebrannmurerog robuste beskyttelsessystemer; bruke kryptering ved overføring og lagring av data; overvåke og spore kontinuerlig tilgang og mistenkelige aktiviteter; teste prosesser og systemer kontinuerlig for å identifisere sårbarheter; opprette og opprettholde en streng informasjonssikkerhetspolicy.
Wagner påpeker at dette i praksis betyr at ethvert selskap som håndterer betalinger med kort, må gjennomgå hele sin digitale sikkerhetsstruktur. Dette innebærer å oppdatere systemer, styrke interne retningslinjer og trene opp team for å minimere risiko. For eksempel vil en netthandel måtte sikre at kundedata er ende-til-ende-kryptert, og at bare autoriserte brukere har tilgang til sensitive opplysninger. En detaljhandelskjede må derimot implementere mekanismer for kontinuerlig overvåkning av mulige svindelforsøk og datalekkasjer, forklarer han.
Banker og fintechs må også styrke sine autentiseringsmekanismer ved å utvide bruken av teknologier som biometrikk og flerfaktorautentisering. Målet er å gjøre transaksjonene sikrere uten å gå på bekostning av kundeopplevelsen. Dette krever en balanse mellom beskyttelse og brukervennlighet, noe finanssektoren allerede har forbedret de siste årene, understreker han.
Men, hvorfor er denne endringen så viktig? Det er ikke overdrevet å si at digitale svindel blir stadig mer sofistikerte. Datainnbrudd kan føre til millioner i tap og uopprettelige skader på kundenes tillit.
Wagner Elias advarer: «mange selskaper tar fortsatt en reaktiv holdning, og bekymrer seg bare for sikkerhet etter at et angrep har skjedd. Denne oppførselen er bekymringsfull, fordi sikkerhetsbrudd kan føre til betydelige økonomiske tap og uopprettelige skader på organisasjonens omdømme, som kunne vært unngått med forebyggende tiltak.»
Han fremhever også at for å unngå disse risikoene, er den store forskjellen å adoptere praksiser for Application Security (Sikkerhet for applikasjoner) fra starten av utviklingen av den nye applikasjonen, og sikre at hver fase av programvareutviklingssyklusen allerede har beskyttelsestiltak. Dette sikrer innføring av beskyttelsestiltak i alle faser av programvarens livssyklus, noe som er mye mer kostnadseffektivt enn å utbedre skader etter en hendelse.
Det er verdt å huske at dette er en trend som vokser over hele verden. Markedet for applikasjonssikkerhet, som omsetter for 11,62 milliarder dollar i 2024, forventes å nå 25,92 milliarder dollar innen 2029, ifølge Mordor Intelligence.
Wagner forklarer at løsninger som DevOps gjør det mulig for hver linje med kode å bli utviklet med beskyttelsespraksiser, i tillegg til tjenester som penetrasjonstesting og sårbarhetsmitigering. Å utføre kontinuerlige sikkerhets- og testautomatiseringsanalyser gjør det mulig for selskaper å overholde standarder uten å gå på bekostning av effektiviteten, understreker de.
I tillegg er spesialiserte konsulentselskaper viktige i denne prosessen, og hjelper bedrifter med å tilpasse seg de nye kravene i PCI DSS 4.0. Blant de mest etterspurte tjenester er Penetration Testing, Red Team og vurderinger av tredjepartssikkerhet, som hjelper med å identifisere og rette opp sårbarheter før de kan utnyttes av kriminelle, sier han.
Med stadig mer sofistikerte digitale svindel, er det ikke lenger et alternativ å ignorere datasikkerheten. Bedrifter som investerer i forebyggende tiltak sikrer sine kunders beskyttelse og styrker sin posisjon i markedet. Å implementere de nye retningslinjene er først og fremst et viktig skritt for å bygge et tryggere og mer pålitelig betalingsmiljø, avslutter de.
