Securitatea digitală a câștigat noi reguli, iar companiile care procesează datele cardurilor trebuie să se adapteze. Odată cu sosirea versiunii 4.0 din Standardul de Securitate a Datelor din Sectorul Cardurilor de Plată (PCI DSS), stabilit de Consiliul Standardelor de Securitate PCI (PCI SSC), schimbările sunt importante și impactează direct protecția datelor clienților și modul în care sunt stocate datele de plată, procesate și transmise. Dar, în cele din urmă, ceea ce se schimbă cu adevărat
Principala schimbare este necesitatea unui nivel și mai ridicat de securitate digitală. Companiile vor trebui să investească în tehnologii avansate, cum criptografie robustă și autentificare multifactorială. Această metodă necesită cel puțin două factori de verificare pentru a confirma identitatea utilizatorului înainte de a acorda acces la sisteme, aplicații sau tranzacții, îngreunând invaziile, chiar că infractorii au acces la parole sau date personale
Printre factorii de autentificare utilizați se numără
- Ceva ce utilizatorul știeparole, PIN-uri sau răspunsuri la întrebări de securitate
- Ceva ce utilizatorul deținetokeni fizici, SMS cu coduri de verificare, aplicații de autentificare (cum ar fi Google Authenticator) sau certificate digitale
- Ceva ce utilizatorul estebiometrie digitală, facial, recunoașterea vocală sau a irisului
Aceste straturi de protecție fac accesul neautorizat mult mai dificil și asigură o securitate mai mare pentru datele sensibile, explică
Pe scurt, este nevoie să întărim protecția datelor clienților, implementând măsuri suplimentare pentru a preveni accesul neautorizat, explică Wagner Elias, CEO al Conviso, dezvoltator de soluții pentru securitatea aplicațiilor. „Nu mai este o lucru de „a te adapta când este necesar”, mai mult de a acționa preventiv, evidentiază
Conform noile reguli, implementarea are loc în două etape: prima, cu 13 cerințe noi, a avut termenul limită în martie 2024. A doua fază, mai exigent, include 51 cerințe suplimentare și ar trebui să fie îndeplinită până la 31 martie 2025. Adică,cine nu s-a pregătit poate înfrunta penalități severe
Pentru a se conforma noilor cerințe, unele dintre acțiunile principale includ: implementafirewallsși sistemele de protecție robuste; utilizarea criptografiei în transmiterea și stocarea datelor; monitorizați și urmăriți continuu accesurile și activitățile suspecte; testarea proceselor și sistemelor în mod constant pentru a identifica vulnerabilități; creați și mențineți o politică strictă de securitate a informațiilor
Wagner subliniază că, în practică, aceasta înseamnă că orice companie care se ocupă cu plăți prin card va trebui să-și revizuiască întreaga structură de securitate digitală. Aceasta implică actualizarea sistemelor, consolidarea politicilor interne și instruirea echipelor pentru a minimiza riscurile. De exemplu, un e-commerce va trebui să se asigure că datele clienților sunt criptate de la un capăt la altul și că doar utilizatorii autorizați au acces la informațiile sensibile. O o rețea de retail va trebui să implementeze mecanisme pentru a monitoriza continuu posibilele încercări de fraudă și scurgeri de date, exemplifică
Bancile și fintech-urile vor trebui, de asemenea, să-și întărească mecanismele de autentificare, extinderea utilizării tehnologiilor precum biometria și autentificarea multifactor. „Scopul este de a face tranzacțiile mai sigure fără a compromite experiența clientului“. Aceasta necesită un echilibru între protecție și utilizabilitate, ceva ce sectorul financiar a îmbunătățit în ultimii ani, evidentiază
Dar, de ce această schimbare este atât de importantă? Nu este o exagerare să spunem că fraudele digitale devin din ce în ce mai sofisticate. Scurgerile de date pot duce la pierderi de milioane și daune ireparabile încrederei clienților.
Wagner Elias avertizează: „multe companii încă adoptă o atitudine reactivă, só se preocupando com segurança depois que um ataque acontece. Această comportare este îngrijorătoare, deoarece defectele de securitate pot provoca pierderi financiare semnificative și daune ireparabile reputației organizației, care ar putea fi evitate prin măsuri preventive
El încă subliniază că pentru a evita aceste riscuri, marele diferențial este adoptarea practicilor de Securitate a Aplicațiilor încă de la începutul dezvoltării noului aplicație, asigurându-se că fiecare etapă a ciclului de dezvoltare a software-ului are deja măsuri de protecție. Aceasta garante inserarea măsurilor de protecție în toate etapele ciclului de viață al software-ului, fiind mult mai economic decât a remedia daunele după un incident
Este de reținut că aceasta este o tendință care a crescut în întreaga lume. Piața de securitate a aplicațiilor, care mișcă 11 milioane de dolari,62 de miliarde în 2024, trebuie să ajungă la 25 USD,92 de miliarde până în 2029, conform Mordor Intelligence
Wagner explică că soluțiile precum DevOps, permit să fie ca fiecare linie de cod să fie dezvoltată cu practici de protecție, pe lângă servicii precum teste de penetrare și atenuarea vulnerabilităților. „Realizarea de analize continue de securitate și automatizarea testelor permite companiilor să respecte normele fără a compromite eficiența“, evidentiază
În plus, consultanțele specializate sunt importante în acest proces, ajutând companiile să se adapteze la noile cerințe ale PCI DSS 4.0. „Printre serviciile cele mai căutate se numără testarea penetrării, Echipa Roșie și evaluările de securitate ale terților, care ajută la identificarea și corectarea vulnerabilităților înainte ca acestea să poată fi exploatate de criminali, conta
Cu fraude digitale din ce în ce mai sofisticate, ignorarea securității datelor nu mai este o opțiune. Companiile care investesc în măsuri preventive asigură protecția clienților lor și își întăresc poziția pe piață. Implementarea noilor directive este, înainte de toate, o pas esențial pentru a construi un mediu de plăți mai sigur și mai de încredere, concluzie
