PCI ужесточает правила, а электронная коммерция требует более высокого уровня безопасности

Цифровая безопасность только что обрела новые правила и компании, которые обрабатывают данные карт, должны адаптироваться С приходом версии 4.0 Стандарта безопасности данных индустрии платежных карт (PCI DSS), установленного Советом по стандартам безопасности PCI (PCI SSC), изменения важны и напрямую влияют на защиту данных клиентов и на то, как данные платежей хранятся, обрабатываются и передаются. Но, в конце концов, что действительно меняется?

Основное изменение - необходимость еще более высокого уровня цифровой безопасности Предприятиям придется инвестировать в передовые технологии, такие как надежное шифрование и многофакторная аутентификация. Этот метод требует как минимум двух факторов проверки для подтверждения личности пользователя перед предоставлением доступа к системам, приложениям или транзакциям, что затрудняет взлом злоумышленников, даже если преступники имеют доступ к паролям или личным данным.

Среди используемых факторов аутентификации можно назвать

• Что-то, что знает пользователь: пароли, PIN-коды или ответы на вопросы безопасности.
• Что-то есть у пользователя: физические токены, SMS с кодами проверки, приложения для аутентификации (например, Google Authenticator) или цифровые сертификаты.
• Что-то, что пользователь: цифровое, биометрическое распознавание лица, голоса или радужной оболочки глаза.

“Эти уровни защиты значительно затрудняют несанкционированный доступ и обеспечивают большую безопасность для SENT-данных, - поясняет он.

“Короче говоря, нам необходимо усилить защиту данных клиентов, внедрив дополнительные меры для предотвращения несанкционированного доступа”, - объясняет Вагнер Элиас, генеральный директор Conviso, разработчика решения для безопасности приложений. “Это уже не вопрос “se adapt, когда необходимо для”, а чтобы действовать превентивно”, - указывает он.

Согласно новым правилам, реализация проходит в два этапа: первый, с 13 новыми требованиями, имел срок в марте 2024 г. Уже второй этап, более требовательный, включает 51 дополнительное требование и должен быть выполнен к 31 марта 2025 г. То есть тем, кто не подготовился, могут грозить суровые наказания.

В соответствии с новыми требованиями некоторые из основных действий включают в себя: реализовать брандмауэры надежные системы защиты; использовать шифрование при передаче и хранении данных; непрерывно отслеживать и отслеживать подозрительный доступ и активность; постоянно тестировать процессы и системы для выявления уязвимостей; создавать и поддерживать строгую политику информационной безопасности.

Вагнер указывает, что на практике это означает, что любой компании, которая занимается карточными платежами, нужно будет пересмотреть всю свою цифровую структуру безопасности.Это предполагает обновление систем, обеспечение соблюдения внутренних политик и обучение групп для минимизации риска. “Например, электронная коммерция должна будет обеспечить, чтобы данные клиентов были зашифрованы сквозным способом и чтобы только авторизованные пользователи имели доступ к конфиденциальной информации. уже сейчас розничной сети придется внедрять механизмы для постоянного мониторинга возможных попыток мошенничества и утечек данных”, - приводит он примеры.

Банкам и финтехам также необходимо будет усилить свои механизмы аутентификации, расширяя использование таких технологий, как биометрия и многофакторная аутентификация.“O стремится сделать транзакции более безопасными без ущерба для клиентского опыта. Для этого требуется баланс между защитой и удобством использования, что финансовый сектор уже улучшает в последние годы, указывает он.

Но почему это изменение так важно, не будет преувеличением сказать, что цифровое мошенничество становится все более изощренным Утечки данных могут привести к убыткам миллионеров и непоправимому ущербу доверию клиентов. 

Вагнер Элиас предупреждает: “многие компании по-прежнему занимают реактивную позицию, беспокоясь о безопасности только после того, как произойдет атака Такое поведение вызывает беспокойство, поскольку сбои в обеспечении безопасности могут нанести значительные финансовые потери и непоправимый ущерб репутации организации, чего можно было бы избежать с помощью превентивных мер”.

Он также указывает, что во избежание этих рисков большая разница заключается в том, чтобы с самого начала разработки нового приложения применять методы обеспечения безопасности приложений (безопасности приложений), гарантируя, что на каждом этапе цикла разработки программного обеспечения уже есть меры защиты. Это обеспечивает внедрение мер защиты на всех этапах жизненного цикла программного обеспечения, что гораздо экономичнее, чем устранение ущерба после инцидента с”.

По данным Mordor Intelligence, рынок безопасности приложений, который в 2024 году переместит 11,62 миллиарда долларов США, как ожидается, достигнет 25,92 миллиарда долларов США по стандарту US$ к 2029 году.

Вагнер объясняет, что решения, подобные DevOps, позволяют разрабатывать каждую строку кода с помощью методов защиты, а также таких сервисов, как тестирование на проникновение и смягчение уязвимостей.“Анализ производительности безопасности и автоматизации тестирования позволяет компаниям соответствовать стандартам без ущерба для эффективности работы с”.

Кроме того, в этом процессе важен специализированный консалтинг, помогающий компаниям адаптироваться к новым требованиям PCI DSS 4.0.“Среди наиболее востребованных услуг - тестирование на проникновение, Red Team и сторонние оценки безопасности, которые помогают выявлять и исправлять уязвимости до того, как они смогут быть использованы преступниками, - говорит он.

С цифровыми мошенничествами все более изощренными, игнорирование безопасности данных больше не вариант. “Компании, которые инвестируют в превентивные меры, обеспечивают защиту своих клиентов и укрепляют свои позиции на рынке. внедрение новых руководящих принципов является, прежде всего, важным шагом для построения более безопасной и надежной платежной среды”, заключает.