W Brazylii, gdzie karta kredytowa jest jednym z głównych sposobów płatności, a dane cyfrowe mają wartość porównywalną z gotówką, ryzyko oszustw internetowych staje się coraz bardziej obecne, wymagając podwójnej uwagi od konsumentów i firm
Aby zrozumieć skalę problemu, czterech na dziesięciu Brazylijczyków padło ofiarą oszustw i nadużyć finansowych w kraju, co to oznacza 42% Brazylijczyków. Dane pochodzą z "Raportu o Tożsamości Cyfrowej i Oszustwach 2024", badanie przeprowadzone przez Serasa Experian
Inne badanie, teraz Krajowej Konfederacji Kierowników Sklepów (CNDL) i Usługi Ochrony Kredytu (SPC Brasil), w partnerstwie z Sebrae, pokazuje, że około 8,4 miliony konsumentów zgłosiło oszustwa w instytucjach finansowych w ciągu ostatnich 12 miesięcy. Między ciosami, klonowanie kart kredytowych i debetowych jest głównym rodzajem oszustwa.
Chociaż około 70% Brazylijczyków posiada trzy lub więcej kart, zgodnie z danymi Serasa, percepcja ryzyka wciąż jest niska. Około 69% Brazylijczyków nadal niedoszacowuje niebezpieczeństwa związane z wprowadzaniem danych finansowych na stronach internetowych i w aplikacjach, co sprawia, że ogromna część populacji jest narażona na oszustwa cyfrowe i ataki cybernetyczne.
W obliczu rosnącego alarmu dotyczącego bezpieczeństwa cyfrowego, dobre wiadomości pojawiają się: nowe inicjatywy i postępy technologiczne sprawiają, że środowisko online staje się coraz bezpieczniejsze każdego dnia.
Ostatnio, Rada Standardów Bezpieczeństwa PCI (PCI SSC) zaproponowała nowe wytyczne dotyczące ciągłego rozwoju i doskonalenia standardów bezpieczeństwa, zastosowane do firm, które przechowują, przetwarzają lub przesyłają dane płatnicze, jak również do deweloperów i producentów oprogramowania oraz urządzeń używanych w transakcjach. PCI jest organizacją globalną, które gromadzi głównych graczy w branży płatności, aby zwiększyć wykorzystanie zasobów do bezpiecznych transakcji.
"W miarę jak zagrożenia i technologia ewoluują", standardy PCI DSS również się aktualizują. Tak więc, trzeba być czujnym, teraz, do nowych wymagań i wprowadzić niezbędne dostosowania, alert Wagner Elias, CEO Conviso, deweloper rozwiązań dla bezpieczeństwa aplikacji
Wśród aktualizacji znajdują się te dotyczące Standardu Bezpieczeństwa Danych Branży Kart Płatniczych (PCI DSS), stworzony, aby chronić cały łańcuch wartości płatności kartą. Twoje wymagania dotyczące zgodności obejmują przechowywanie danych posiadaczy kart oraz bezpieczeństwo dostępu do wrażliwych informacji płatniczych
Podsumowując, konieczne jest wzmocnienie ochrony danych klientów, wdrażając dodatkowe środki w celu zapobiegania nieautoryzowanym dostępom, mówi specjalista
Tak więc, firmy będą musiały dostosować się i inwestować w nowe technologie. Aby mieć pojęcie, niektóre z tych rozwiązań są w stanie zapewnić pełny obraz ryzyk związanych z każdą aplikacją. Te narzędzia integrują różne systemy, centralizując informacje i wspierając priorytetyzację działań, wszystko w sposób ciągły, wyjaśnia CEO Conviso, o platforma Conviso Application Security Posture Management (ASPM), wydana w 2010
Jednak, specjalista podkreśla, że wiele firm wciąż przyjmuje postawę reaktywną wobec bezpieczeństwa swoich systemów, tylko priorytetując temat po doznaniu ataku. To zachowanie, według niego, to niepokojące, ponieważ luki w zabezpieczeniach mogą prowadzić do znacznych strat finansowych i nieodwracalnych szkód w reputacji organizacji, które można by było uniknąć dzięki środkom zapobiegawczym
Dla niego, przy rozważaniu stworzenia nowego oprogramowania, jest niezbędne, aby firma włączyła bezpieczeństwo na każdym etapie cyklu tworzenia, od etapu zbierania wymagań (pierwsza faza, która analizuje, co aplikacja ma realizować) aż po wdrożenie (produkcja i ostateczna dostawa).
Aby uniknąć tych ryzyk, wielką różnicą jest przyjęcie praktyk bezpieczeństwa aplikacji (Application Security) od początku rozwoju nowej aplikacji. To zapewnia wprowadzenie środków ochrony na wszystkich etapach cyklu życia oprogramowania. Oprócz tego, że jest znacznie bardziej opłacalne niż naprawianie szkód po incydencie, inwestowanie w bezpieczeństwo prewencyjne jest znacznie bardziej skuteczne. To pozwala zapobiegać atakom, chronić wrażliwe dane, zapewnić zgodność z ustawodawstwem i wytycznymi, i zapewnić, że aplikacja będzie bezpieczna i niezawodna dla użytkowników od samego początku, mówi specjalista
Wagner wyjaśnia, że firma opracowuje rozwiązania, które integrują bezpieczeństwo z DevOps, pozwalając, aby każda linia kodu była rozwijana z praktykami ochrony, oprócz usług takich jak testy penetracyjne i łagodzenie luk w zabezpieczeniach. „Przeprowadzanie ciągłych analiz bezpieczeństwa i automatyzacji testów pozwala firmom spełniać normy bez kompromisów w zakresie wydajności”, wyróżnia się Wagner
Oprócz wdrożenia solidnych technologii, CEO Conviso podkreśla znaczenie specjalistycznych konsultacji, które pomagają firmom dostosować się do wymagań PCI DSS 4.0 i inne regulacje. Usługi ofensywne takie jak testy penetracyjne, Zespół Red i oceny bezpieczeństwa osób trzecich promują proaktywne i kompleksowe podejście do bezpieczeństwa, identyfikowanie i naprawianie luk w zabezpieczeniach, zanim będą mogły zostać wykorzystane.
Inwestycje powinny przyspieszyć
Ta transformacja w bezpieczeństwie cyfrowym nie tylko wzmacnia zaufanie konsumentów do bezpiecznego środowiska online, jak również towarzyszy szybkiemu wzrostowi rynku bezpieczeństwa aplikacji, które ma się rozszerzyć o 11 USD,62 miliardy w 2024 roku na 25 USD,92 miliardów do 2029, według Mordor Intelligence. "Wdrożenie nowoczesnej technologii oznacza przełom w ochronie cyfrowej i wzmacnia zaufanie na rynku, który jest zależny", bardziej niż kiedykolwiek, bezpieczeństwa dla rozwoju, Wagner kończy.
Sprawdź listę 12 wymagań PCI DSS, które dotyczą weryfikacji zgodności 4.0 powinno spełniać:
- Zainstalować i utrzymywać zaporę sieciową
- Usuń domyślne ustawienia dostawcy
- Chronić dane przechowywane właściciela karty
- Szyfrowanie transmisji danych płatniczych
- Regularnie aktualizować oprogramowanie antywirusowe
- Wdrażanie bezpiecznych systemów i aplikacji
- Ograniczyć dostęp do danych posiadacza karty w razie potrzeby
- Przypisać identyfikator dostępu użytkownika
- Ograniczyć fizyczny dostęp do danych
- Śledzenie i monitorowanie dostępu do sieci
- Ciągłe testowanie procesów i systemów w poszukiwaniu luk bezpieczeństwa
- Tworzenie i utrzymywanie polityki bezpieczeństwa informacji
Wdrożenie wytycznych PCI DSS 4.0 jest realizowane w dwóch fazach
- Pierwsza faza, z 13 nowymi wymaganiami, termin ostateczny to 31 marca 2024
- Druga faza, z 51 dodatkowymi wymaganiami, musi być wdrożona do 31 marca 2025
