Bezpieczeństwo cyfrowe właśnie zyskało nowe zasady, a firmy przetwarzające dane kartowe muszą się do nich dostosować. Wraz z pojawieniem się wersji 4.0 Standardu Bezpieczeństwa Danych Branży Kart Płatniczych (PCI DSS), ustanowionego przez Radę ds. Standardów Bezpieczeństwa PCI (PCI Security Standards Council, PCI SSC), zmiany są znaczące i bezpośrednio wpływają na ochronę danych klientów oraz sposób przechowywania, przetwarzania i przesyłania danych płatniczych. Ale co tak naprawdę się zmienia?
Główną zmianą jest konieczność zapewnienia jeszcze wyższego poziomu bezpieczeństwa cyfrowego. Firmy będą musiały inwestować w zaawansowane technologie, takie jak solidne szyfrowanie i uwierzytelnianie wieloskładnikowe. Ta metoda wymaga co najmniej dwóch czynników weryfikacji, aby potwierdzić tożsamość użytkownika przed udzieleniem dostępu do systemów, aplikacji lub transakcji, co utrudnia hakowanie, nawet jeśli przestępcy uzyskają dostęp do haseł lub danych osobowych.
Wśród stosowanych czynników uwierzytelniania znajdują się:
- Coś, co użytkownik wie : hasła, kody PIN i odpowiedzi na pytania bezpieczeństwa.
- Coś, co posiada użytkownik : fizyczne tokeny, wiadomości SMS z kodami weryfikacyjnymi, aplikacje uwierzytelniające (np. Google Authenticator) lub certyfikaty cyfrowe.
- Użytkownik to osoba cyfrowa, biometryczna, rozpoznająca twarz, głos lub tęczówkę oka.
„Te warstwy zabezpieczeń znacznie utrudniają nieautoryzowany dostęp i zapewniają większe bezpieczeństwo poufnych danych” – wyjaśnia.
„Krótko mówiąc, musimy wzmocnić ochronę danych klientów, wdrażając dodatkowe środki zapobiegające nieautoryzowanemu dostępowi” – wyjaśnia Wagner Elias, dyrektor generalny Conviso, firmy tworzącej rozwiązania bezpieczeństwa aplikacji. „Nie chodzi już o »dostosowywanie się w razie potrzeby«, ale o działanie zapobiegawcze” – podkreśla.
Zgodnie z nowymi przepisami wdrożenie przepisów przebiega w dwóch fazach: pierwsza, obejmująca 13 nowych wymogów, miała termin do marca 2024 r. Druga, bardziej wymagająca faza, obejmuje 51 dodatkowych wymogów i musi zostać spełniona do 31 marca 2025 r. Innymi słowy, osoby, które nie przygotują się odpowiednio, mogą zostać ukarane surowymi karami.
Aby dostosować się do nowych wymagań, należy podjąć następujące kluczowe działania: wdrożyć zapory sieciowe i solidne systemy ochrony; stosować szyfrowanie w transmisji i przechowywaniu danych; stale monitorować i śledzić podejrzany dostęp i aktywność; stale testować procesy i systemy w celu identyfikacji luk w zabezpieczeniach; a także stworzyć i utrzymywać rygorystyczną politykę bezpieczeństwa informacji.
Wagner podkreśla, że w praktyce oznacza to, że każda firma obsługująca płatności kartami będzie musiała dokonać przeglądu całej swojej struktury bezpieczeństwa cyfrowego. Obejmuje to aktualizację systemów, wzmocnienie wewnętrznych polityk i przeszkolenie zespołów w celu minimalizacji ryzyka. „Na przykład firma e-commerce będzie musiała zapewnić pełne szyfrowanie danych klientów i dostęp do poufnych informacji wyłącznie upoważnionym użytkownikom. Z kolei sieć handlowa będzie musiała wdrożyć mechanizmy ciągłego monitorowania pod kątem potencjalnych prób oszustw i wycieków danych” – wyjaśnia.
Banki i firmy fintechowe będą musiały również wzmocnić swoje mechanizmy uwierzytelniania, rozszerzając wykorzystanie technologii takich jak biometria i uwierzytelnianie wieloskładnikowe. „Celem jest zwiększenie bezpieczeństwa transakcji bez pogarszania jakości obsługi klienta. Wymaga to równowagi między ochroną a użytecznością, co sektor finansowy doskonali w ostatnich latach” – podkreśla.
Ale dlaczego ta zmiana jest tak ważna? Nie będzie przesadą stwierdzenie, że oszustwa cyfrowe stają się coraz bardziej wyrafinowane. Wycieki danych mogą skutkować stratami rzędu milionów dolarów i nieodwracalnym nadszarpnięciem zaufania klientów.
Wagner Elias ostrzega: „Wiele firm nadal stosuje podejście reaktywne, martwiąc się o bezpieczeństwo dopiero po ataku. Takie zachowanie jest niepokojące, ponieważ naruszenia bezpieczeństwa mogą prowadzić do znacznych strat finansowych i nieodwracalnych szkód dla reputacji organizacji, których można by uniknąć, podejmując działania zapobiegawcze”.
Podkreśla również, że aby uniknąć tych zagrożeń, kluczem jest wdrożenie praktyk bezpieczeństwa aplikacji od samego początku tworzenia nowej aplikacji, zapewniając, że każda faza cyklu rozwoju oprogramowania posiada już środki ochronne. Gwarantuje to wdrożenie środków ochronnych na wszystkich etapach cyklu życia oprogramowania, co jest znacznie bardziej opłacalne niż naprawianie szkód po incydencie.
Warto zauważyć, że jest to rosnący trend na całym świecie. Według Mordor Intelligence rynek zabezpieczeń aplikacji, którego wartość w 2024 roku wynosiła 11,62 miliarda dolarów, do 2029 roku ma osiągnąć wartość 25,92 miliarda dolarów.
Wagner wyjaśnia, że rozwiązania takie jak DevOps pozwalają na tworzenie każdej linii kodu z zachowaniem bezpiecznych praktyk, a także oferują usługi takie jak testy penetracyjne i łagodzenie podatności. „Przeprowadzanie ciągłej analizy bezpieczeństwa i automatyzacji testów pozwala firmom przestrzegać przepisów bez uszczerbku dla wydajności” – podkreśla.
Co więcej, specjalistyczne usługi doradcze odgrywają istotną rolę w tym procesie, pomagając firmom dostosować się do nowych wymagań PCI DSS 4.0. „Do najbardziej poszukiwanych usług należą testy penetracyjne, testy Red Team oraz niezależne oceny bezpieczeństwa, które pomagają identyfikować i usuwać luki w zabezpieczeniach, zanim zostaną one wykorzystane przez przestępców” – wyjaśnia.
W obliczu coraz bardziej wyrafinowanych oszustw cyfrowych, ignorowanie bezpieczeństwa danych nie jest już możliwe. „Firmy, które inwestują w środki zapobiegawcze, zapewniają ochronę swoim klientom i wzmacniają swoją pozycję rynkową. Wdrożenie nowych wytycznych to przede wszystkim niezbędny krok w kierunku zbudowania bezpieczniejszego i bardziej niezawodnego środowiska płatniczego” – podsumowuje.
