Carduri de credit: ce se schimbă cu noile reguli de securitate digitală

Securitatea digitală tocmai a câștigat noi reguli și companiile care procesează datele cardului trebuie să se adapteze. odată cu sosirea versiunii 4.0 a Standardului de securitate a datelor din industria cardurilor de plată (PCI DSS), stabilit de Consiliul pentru Standarde de Securitate PCI (PCI SSC), modificările sunt importante și au un impact direct asupra protecției datelor clienților și asupra modului în care datele de plată sunt stocate, procesate și transmise. dar, la urma urmei, ce se schimbă cu adevărat?

Principala schimbare este necesitatea unui nivel și mai ridicat de securitate digitală.întreprinderile vor trebui să investească în tehnologii avansate, cum ar fi criptarea robustă și autentificarea multi-factor.Această metodă necesită cel puțin doi factori de verificare pentru a confirma identitatea utilizatorului înainte de a acorda acces la sisteme, aplicații sau tranzacții, ceea ce face dificil pentru atacatori să pirateze chiar dacă infractorii au acces la parole sau date personale.

Printre factorii de autentificare utilizați se numără

• Ceva ce știe utilizatorul: parole, PIN-uri sau răspunsuri la întrebări de securitate.
• Ceva ce are utilizatorul: jetoane fizice, SMS cu coduri de verificare, autentificare aplicatii (cum ar fi Google Authenticator) sau certificate digitale.
• Ceva ce utilizatorul este: digital, biometrie facială, recunoaștere a vocii sau a irisului.

“Aceste straturi de protecție fac accesul neautorizat mult mai dificil și asigură o mai mare securitate pentru datele SENT, explică el.

“Pe scurt, trebuie să consolidăm protecția datelor clienților prin implementarea unor măsuri suplimentare pentru prevenirea accesului neautorizat”, explică Wagner Elias, CEO al Conviso, dezvoltator de soluții pentru securitatea aplicațiilor. “Nu mai este o chestiune de “se adapta atunci când este necesar să”, ci să acționăm preventiv”, subliniază el.

Conform noilor reguli, implementarea are loc în două faze: prima, cu 13 cerințe noi, avea termenul limită în martie 2024 Deja a doua fază, mai solicitantă, include 51 de cerințe suplimentare și ar trebui îndeplinită până la 31 martie 2025 Adică cei care nu s-au pregătit se pot confrunta cu sancțiuni severe.

Pentru a se potrivi noilor cerințe, unele dintre acțiunile principale includ: implementarea firewall-uri sisteme robuste de protecție; utilizați criptarea în transmiterea și stocarea datelor; monitorizați și urmăriți continuu accesul și activitatea suspectă; testați constant procesele și sistemele pentru a identifica vulnerabilitățile; creați și mențineți o politică strictă de securitate a informațiilor.

Wagner subliniază că, în practică, aceasta înseamnă că orice companie care se ocupă de plățile cu cardul va trebui să își revizuiască întreaga structură de securitate digitală. Aceasta implică actualizarea sistemelor, aplicarea politicilor interne și formarea echipelor pentru a minimiza riscul. “De exemplu, un comerț electronic va trebui să se asigure că datele clienților sunt criptate end-to-end și că numai utilizatorii autorizați au acces la informații sensibile. Deja o rețea de retail va trebui să implementeze mecanisme pentru a monitoriza continuu posibilele tentative de fraudă și scurgeri de date”, exemplifica el.

Băncile și fintech-urile vor trebui, de asemenea, să-și consolideze mecanismele de autentificare, extinzând utilizarea tehnologiilor precum biometria și autentificarea multifactorială.“O își propune să facă tranzacțiile mai sigure fără a compromite experiența clienților. Acest lucru necesită un echilibru între protecție și utilizare, lucru pe care sectorul financiar l-a îmbunătățit deja în ultimii ani”, subliniază el.

Dar de ce este această schimbare atât de importantă? nu este exagerat să spunem că frauda digitală este din ce în ce mai sofisticată. Încălcările de date pot duce la pierderi de milionari și daune ireparabile aduse încrederii clienților. 

Wagner Elias avertizează: “multe companii adoptă încă o postură reactivă, îngrijorându-se doar de securitate după ce are loc un atac. Acest comportament este îngrijorător, deoarece eșecurile de securitate pot provoca pierderi financiare semnificative și daune ireparabile reputației organizației, care ar putea fi evitate cu măsuri preventive”.

De asemenea, subliniază că pentru a evita aceste riscuri, marea diferenţă este adoptarea practicilor de Application Security (Securitatea aplicaţiilor) încă de la începutul dezvoltării noii aplicaţii, asigurându-se că fiecare fază a ciclului de dezvoltare software are deja măsuri de protecţie.acest lucru asigură inserarea măsurilor de protecţie în toate fazele ciclului de viaţă software, fiind mult mai economic decât remedierea daunelor după un incident de tip ”an“.

Piața securității aplicațiilor, care mută 11,62 miliarde US$ în 2024, este de așteptat să atingă 25,92 miliarde US$ până în 2029, potrivit Mordor Intelligence.

Wagner explică că soluții precum DevOps permit dezvoltarea fiecărei linii de cod cu practici de protecție, precum și servicii precum testarea penetrării și atenuarea vulnerabilității.“ Analiza performanței securității și automatizarea testelor permite companiilor să îndeplinească standardele fără a compromite eficiența de profil.

În plus, consultanța specializată este importantă în acest proces, ajutând companiile să se adapteze la noile cerințe ale PCI DSS 4.0.“Printre cele mai căutate servicii se numără Testarea penetrării, Red Team și evaluările de securitate ale terților, care ajută la identificarea și corectarea vulnerabilităților înainte ca acestea să poată fi exploatate de infractorii de tip”, spune el.

Cu fraudele digitale din ce în ce mai sofisticate, ignorarea securității datelor nu mai este o opțiune. “Companiile care investesc în măsuri preventive asigură protecția clienților lor și își consolidează poziția pe piață. implementarea noilor orientări este, în primul rând, un pas esențial pentru construirea unui mediu de plată mai sigur și mai fiabil”, conchide.