Securitatea digitală tocmai a dobândit noi reguli, iar companiile care procesează date despre carduri trebuie să se adapteze. Odată cu apariția versiunii 4.0 a Standardului de Securitate a Datelor din Industria Cardurilor de Plată (PCI DSS), stabilit de Consiliul pentru Standarde de Securitate PCI (PCI SSC), schimbările sunt semnificative și au un impact direct asupra protecției datelor clienților și asupra modului în care datele de plată sunt stocate, procesate și transmise. Dar ce se schimbă cu adevărat?
Principala schimbare este necesitatea unui nivel și mai ridicat de securitate digitală. Companiile vor trebui să investească în tehnologii avansate, cum ar fi criptarea robustă și autentificarea multi-factor. Această metodă necesită cel puțin doi factori de verificare pentru a confirma identitatea unui utilizator înainte de a acorda acces la sisteme, aplicații sau tranzacții, ceea ce îngreunează hacking-ul, chiar dacă infractorii obțin acces la parole sau date personale.
Printre factorii de autentificare utilizați se numără:
- Ceva ce utilizatorul știe : parole, coduri PIN sau răspunsuri la întrebări de securitate.
- Ceva ce deține utilizatorul : token-uri fizice, SMS-uri cu coduri de verificare, aplicații de autentificare (cum ar fi Google Authenticator) sau certificate digitale.
- Ceva ce este utilizatorul : date biometrice digitale, de recunoaștere facială, vocală sau a irisului.
„Aceste straturi de protecție îngreunează mult accesul neautorizat și asigură o securitate sporită pentru datele sensibile”, explică el.
„Pe scurt, trebuie să consolidăm protecția datelor clienților prin implementarea unor măsuri suplimentare pentru a preveni accesul neautorizat”, explică Wagner Elias, CEO al Conviso, dezvoltator de soluții de securitate a aplicațiilor. „Nu mai este vorba de «adaptare atunci când este necesar», ci de acțiune preventivă”, subliniază el.
Conform noilor reguli, implementarea are loc în două faze: prima, cu 13 cerințe noi, avea termen limită martie 2024. A doua fază, mai exigentă, include 51 de cerințe suplimentare și trebuie îndeplinită până la 31 martie 2025. Cu alte cuvinte, cei care nu se pregătesc se pot confrunta cu sancțiuni severe.
Pentru a se adapta noilor cerințe, printre acțiunile cheie se numără: implementarea de firewall-uri și sisteme robuste de protecție; utilizarea criptării în transmiterea și stocarea datelor; monitorizarea și urmărirea continuă a accesurilor și activităților suspecte; testarea constantă a proceselor și sistemelor pentru identificarea vulnerabilităților; și crearea și menținerea unei politici riguroase de securitate a informațiilor.
Wagner subliniază că, în practică, aceasta înseamnă că orice companie care gestionează plăți cu cardul va trebui să își revizuiască întreaga structură de securitate digitală. Aceasta implică actualizarea sistemelor, consolidarea politicilor interne și instruirea echipelor pentru a minimiza riscurile. „De exemplu, o companie de comerț electronic va trebui să se asigure că datele clienților sunt criptate end-to-end și că numai utilizatorii autorizați au acces la informații sensibile. Un lanț de retail, pe de altă parte, va trebui să implementeze mecanisme pentru a monitoriza continuu posibilele tentative de fraudă și scurgeri de date”, explică el.
Băncile și companiile fintech vor trebui, de asemenea, să își consolideze mecanismele de autentificare, extinzând utilizarea unor tehnologii precum biometria și autentificarea multi-factor. „Scopul este de a face tranzacțiile mai sigure fără a compromite experiența clientului. Acest lucru necesită un echilibru între protecție și ușurință în utilizare, un aspect pe care sectorul financiar l-a îmbunătățit în ultimii ani”, subliniază el.
Dar de ce este această schimbare atât de importantă? Nu este o exagerare să spunem că frauda digitală devine din ce în ce mai sofisticată. Încălcările de date pot duce la pierderi de milioane de dolari și daune ireparabile aduse încrederii clienților.
Wagner Elias avertizează: „Multe companii încă adoptă o abordare reactivă, îngrijorându-se de securitate doar după ce are loc un atac. Acest comportament este îngrijorător, deoarece încălcările de securitate pot duce la pierderi financiare semnificative și daune ireparabile aduse reputației organizației, care ar putea fi evitate prin măsuri preventive.”
El subliniază, de asemenea, că, pentru a evita aceste riscuri, esențială este adoptarea practicilor de Securitate a Aplicațiilor încă de la începutul dezvoltării noii aplicații, asigurându-se că fiecare fază a ciclului de dezvoltare software are deja măsuri de protecție. Acest lucru asigură implementarea măsurilor de protecție în toate etapele ciclului de viață al software-ului, ceea ce este mult mai rentabil decât remedierea daunelor după un incident.
Este demn de remarcat faptul că aceasta este o tendință în creștere la nivel mondial. Piața securității aplicațiilor, care a fost evaluată la 11,62 miliarde de dolari în 2024, se așteaptă să ajungă la 25,92 miliarde de dolari până în 2029, potrivit Mordor Intelligence.
Wagner explică faptul că soluții precum DevOps permit ca fiecare linie de cod să fie dezvoltată cu practici sigure, pe lângă servicii precum teste de penetrare și atenuarea vulnerabilităților. „Efectuarea continuă a analizelor de securitate și automatizarea testelor permite companiilor să respecte reglementările fără a compromite eficiența”, subliniază el.
În plus, serviciile de consultanță specializată sunt importante în acest proces, ajutând companiile să se adapteze la noile cerințe PCI DSS 4.0. „Printre cele mai căutate servicii se numără Penetration Testing, Red Team și evaluările de securitate realizate de terți, care ajută la identificarea și corectarea vulnerabilităților înainte ca acestea să poată fi exploatate de infractori”, explică el.
Întrucât frauda digitală devine din ce în ce mai sofisticată, ignorarea securității datelor nu mai este o opțiune. „Companiile care investesc în măsuri preventive asigură protecția clienților lor și își consolidează poziția pe piață. Implementarea noilor directive este, mai presus de toate, un pas esențial către construirea unui mediu de plăți mai sigur și mai fiabil”, conchide el.
