Цифровая безопасность только что обзавелась новыми правилами, и компаниям, обрабатывающим данные карт, необходимо адаптироваться к ним. С выходом версии 4.0 Стандарта безопасности данных индустрии платежных карт (PCI DSS), установленного Советом по стандартам безопасности PCI (PCI SSC), изменения значительны и напрямую влияют на защиту данных клиентов, а также на то, как хранятся, обрабатываются и передаются платежные данные. Но что же меняется на самом деле?
Главное изменение заключается в необходимости ещё более высокого уровня цифровой безопасности. Компаниям придётся инвестировать в передовые технологии, такие как надёжное шифрование и многофакторная аутентификация. Этот метод требует как минимум двух факторов проверки для подтверждения личности пользователя перед предоставлением доступа к системам, приложениям или транзакциям, что затрудняет взлом, даже если злоумышленники получат доступ к паролям или личным данным.
Среди используемых факторов аутентификации:
- Что-то, что знает пользователь : пароли, PIN-коды или ответы на контрольные вопросы.
- Что-то, что есть у пользователя : физические токены, СМС с кодами подтверждения, приложения для аутентификации (например, Google Authenticator) или цифровые сертификаты.
- Что-то, чем является пользователь : цифровая биометрия, распознавание лица, голоса или радужной оболочки глаза.
«Эти уровни защиты значительно затрудняют несанкционированный доступ и обеспечивают большую безопасность конфиденциальных данных», — объясняет он.
«Короче говоря, нам необходимо усилить защиту данных клиентов, внедрив дополнительные меры по предотвращению несанкционированного доступа», — поясняет Вагнер Элиас, генеральный директор компании Conviso, разработчика решений для безопасности приложений. «Речь уже идёт не о „адаптации по мере необходимости“, а о превентивных действиях», — подчёркивает он.
Согласно новым правилам, внедрение происходит в два этапа: первый, с 13 новыми требованиями, имел срок окончания в марте 2024 года. Второй, более строгий этап, включает 51 дополнительное требование и должен быть выполнен к 31 марта 2025 года. Другими словами, те, кто не подготовится, могут столкнуться с суровыми санкциями.
Чтобы адаптироваться к новым требованиям, необходимо предпринять следующие ключевые действия: внедрить межсетевые экраны и надежные системы защиты; использовать шифрование при передаче и хранении данных; постоянно контролировать и отслеживать подозрительный доступ и активность; постоянно тестировать процессы и системы для выявления уязвимостей; а также создать и поддерживать строгую политику информационной безопасности.
Вагнер подчёркивает, что на практике это означает, что любой компании, обрабатывающей карточные платежи, потребуется пересмотреть всю свою структуру цифровой безопасности. Это включает обновление систем, укрепление внутренних политик и обучение персонала для минимизации рисков. «Например, компании электронной коммерции необходимо будет обеспечить сквозное шифрование данных клиентов и доступ к конфиденциальной информации только авторизованным пользователям. С другой стороны, розничной сети потребуется внедрить механизмы постоянного мониторинга возможных попыток мошенничества и утечек данных», — поясняет он.
Банкам и финтех-компаниям также необходимо будет усилить свои механизмы аутентификации, расширив использование таких технологий, как биометрия и многофакторная аутентификация. «Цель — повысить безопасность транзакций, не жертвуя качеством обслуживания клиентов. Для этого необходим баланс между защитой и удобством использования, который финансовый сектор совершенствует в последние годы», — подчеркивает он.
Но почему это изменение так важно? Не будет преувеличением сказать, что цифровое мошенничество становится всё более изощрённым. Утечки данных могут привести к многомиллиардным убыткам и непоправимому ущербу для доверия клиентов.
Вагнер Элиас предупреждает: «Многие компании по-прежнему придерживаются реактивного подхода, беспокоясь о безопасности только после того, как произошла атака. Такое поведение вызывает тревогу, поскольку нарушения безопасности могут привести к значительным финансовым потерям и непоправимому ущербу для репутации организации, чего можно было бы избежать, приняв превентивные меры».
Он также подчеркивает, что для предотвращения этих рисков ключевым моментом является внедрение методов обеспечения безопасности приложений с самого начала разработки нового приложения, обеспечивая наличие защитных мер на каждом этапе цикла разработки программного обеспечения. Это гарантирует реализацию защитных мер на всех этапах жизненного цикла программного обеспечения, что гораздо экономически эффективнее, чем устранение последствий инцидента.
Стоит отметить, что эта тенденция растёт во всём мире. По данным Mordor Intelligence, рынок безопасности приложений, оценивавшийся в 11,62 млрд долларов в 2024 году, к 2029 году, как ожидается, достигнет 25,92 млрд долларов.
Вагнер объясняет, что такие решения, как DevOps, позволяют разрабатывать каждую строку кода с использованием безопасных методов, а также предлагают такие услуги, как тестирование на проникновение и устранение уязвимостей. «Непрерывный анализ безопасности и автоматизация тестирования позволяют компаниям соблюдать нормативные требования без ущерба для эффективности», — подчёркивает он.
Кроме того, в этом процессе важную роль играют специализированные консалтинговые услуги, помогающие компаниям адаптироваться к новым требованиям PCI DSS 4.0. «Среди наиболее востребованных услуг — тестирование на проникновение, Red Team и сторонние оценки безопасности, которые помогают выявлять и устранять уязвимости до того, как ими воспользуются злоумышленники», — поясняет он.
Поскольку цифровое мошенничество становится всё более изощрённым, игнорировать безопасность данных больше невозможно. «Компании, инвестирующие в превентивные меры, обеспечивают защиту своих клиентов и укрепляют свои позиции на рынке. Внедрение новых правил — это, прежде всего, важный шаг к созданию более безопасной и надёжной платёжной среды», — заключает он.
