Digitálna bezpečnosť práve získala nové pravidlá a spoločnosti, ktoré spracovávajú údaje o kartách, sa musia prispôsobiť. S príchodom verzie 4.0 štandardu zabezpečenia údajov v odvetví platobných kariet (PCI DSS), ktorý zaviedla Rada pre bezpečnostné štandardy PCI (PCI SSC), sú zmeny významné a priamo ovplyvňujú ochranu údajov zákazníkov a spôsob, akým sa údaje o platbách ukladajú, spracovávajú a prenášajú. Čo sa však skutočne mení?
Hlavnou zmenou je potreba ešte vyššej úrovne digitálnej bezpečnosti. Spoločnosti budú musieť investovať do pokročilých technológií, ako je robustné šifrovanie a viacfaktorové overovanie. Táto metóda vyžaduje aspoň dva overovacie faktory na potvrdenie identity používateľa pred udelením prístupu k systémom, aplikáciám alebo transakciám, čo sťažuje hackerský útok, a to aj v prípade, že zločinci získajú prístup k heslám alebo osobným údajom.
Medzi použité autentifikačné faktory patria:
- Niečo, čo používateľ pozná : heslá, PIN kódy alebo odpovede na bezpečnostné otázky.
- Niečo, čo má používateľ k dispozícii : fyzické tokeny, SMS s overovacími kódmi, overovacie aplikácie (ako napríklad Google Authenticator) alebo digitálne certifikáty.
- Niečo, čím používateľ je : digitálne biometrie, biometria rozpoznávania tváre, hlasu alebo dúhovky.
„Tieto vrstvy ochrany výrazne sťažujú neoprávnený prístup a zabezpečujú väčšiu bezpečnosť citlivých údajov,“ vysvetľuje.
„Stručne povedané, musíme posilniť ochranu údajov zákazníkov zavedením dodatočných opatrení na zabránenie neoprávnenému prístupu,“ vysvetľuje Wagner Elias, generálny riaditeľ spoločnosti Conviso, vývojára riešení pre bezpečnosť aplikácií. „Už nejde o to, aby sme sa ‚prispôsobili, keď je to potrebné‘, ale aby sme konali preventívne,“ zdôrazňuje.
Podľa nových pravidiel prebieha implementácia v dvoch fázach: prvá, s 13 novými požiadavkami, mala termín v marci 2024. Druhá, náročnejšia fáza zahŕňa 51 dodatočných požiadaviek a musí byť splnená do 31. marca 2025. Inými slovami, tí, ktorí sa nepripravia, môžu čeliť prísnym sankciám.
Medzi kľúčové kroky na prispôsobenie sa novým požiadavkám patria: implementácia firewallov a robustných ochranných systémov; používanie šifrovania pri prenose a ukladaní údajov; neustále monitorovanie a sledovanie podozrivého prístupu a aktivity; neustále testovanie procesov a systémov na identifikáciu zraniteľností; a vytvorenie a udržiavanie prísnej politiky informačnej bezpečnosti.
Wagner zdôrazňuje, že v praxi to znamená, že každá spoločnosť, ktorá spracováva platby kartami, bude musieť prehodnotiť celú svoju štruktúru digitálneho zabezpečenia. To zahŕňa aktualizáciu systémov, posilnenie interných politík a školenie tímov s cieľom minimalizovať riziká. „Napríklad spoločnosť elektronického obchodu bude musieť zabezpečiť, aby boli údaje o zákazníkoch šifrované od začiatku do konca a aby k citlivým informáciám mali prístup iba autorizovaní používatelia. Maloobchodný reťazec bude na druhej strane musieť zaviesť mechanizmy na neustále monitorovanie možných pokusov o podvod a únikov údajov,“ vysvetľuje.
Banky a fintech spoločnosti budú musieť tiež posilniť svoje mechanizmy autentifikácie a rozšíriť používanie technológií, ako sú biometria a viacfaktorová autentifikácia. „Cieľom je zvýšiť bezpečnosť transakcií bez toho, aby sa ohrozila zákaznícka skúsenosť. To si vyžaduje rovnováhu medzi ochranou a použiteľnosťou, čo je niečo, čo finančný sektor v posledných rokoch zlepšuje,“ zdôrazňuje.
Prečo je však táto zmena taká dôležitá? Bez preháňania možno povedať, že digitálne podvody sú čoraz sofistikovanejšie. Úniky údajov môžu viesť k stratám v hodnote miliónov dolárov a nenapraviteľnému poškodeniu dôvery zákazníkov.
Wagner Elias varuje: „Mnoho spoločností stále prijíma reaktívny prístup a o bezpečnosť sa obávajú až po tom, čo k útoku dôjde. Toto správanie je znepokojujúce, pretože narušenia bezpečnosti môžu viesť k značným finančným stratám a nenapraviteľnému poškodeniu reputácie organizácie, čomu by sa dalo predísť preventívnymi opatreniami.“
Ďalej zdôrazňuje, že na predchádzanie týmto rizikám je kľúčové prijať postupy zabezpečenia aplikácií od začiatku vývoja novej aplikácie a zabezpečiť, aby každá fáza cyklu vývoja softvéru už mala ochranné opatrenia. To zabezpečuje, že ochranné opatrenia sú implementované vo všetkých fázach životného cyklu softvéru, čo je oveľa nákladovo efektívnejšie ako náprava škôd po incidente.
Stojí za zmienku, že ide o celosvetovo rastúci trend. Podľa spoločnosti Mordor Intelligence sa očakáva, že trh s aplikačnou bezpečnosťou, ktorý bol v roku 2024 ocenený na 11,62 miliardy dolárov, dosiahne do roku 2029 hodnotu 25,92 miliardy dolárov.
Wagner vysvetľuje, že riešenia ako DevOps umožňujú vývoj každého riadku kódu s použitím bezpečných postupov, okrem služieb, ako je penetračné testovanie a zmierňovanie zraniteľností. „Vykonávanie nepretržitej bezpečnostnej analýzy a automatizácie testov umožňuje spoločnostiam dodržiavať predpisy bez toho, aby bola ohrozená efektivita,“ zdôrazňuje.
Okrem toho sú v tomto procese dôležité špecializované konzultačné služby, ktoré pomáhajú spoločnostiam prispôsobiť sa novým požiadavkám PCI DSS 4.0. „Medzi najvyhľadávanejšie služby patria penetračné testovanie, Red Team a bezpečnostné posúdenia tretích strán, ktoré pomáhajú identifikovať a opraviť zraniteľnosti skôr, ako ich môžu zneužiť zločinci,“ vysvetľuje.
Keďže digitálne podvody sú čoraz sofistikovanejšie, ignorovanie bezpečnosti údajov už nie je možné. „Spoločnosti, ktoré investujú do preventívnych opatrení, zabezpečujú ochranu svojich zákazníkov a posilňujú svoju pozíciu na trhu. Implementácia nových smerníc je predovšetkým nevyhnutným krokom k vybudovaniu bezpečnejšieho a spoľahlivejšieho platobného prostredia,“ uzatvára.
