PCI sprísňuje pravidlá a elektronický obchod potrebuje vyššiu úroveň bezpečnosti

Digitálna bezpečnosť práve získala nové pravidlá a spoločnosti, ktoré spracúvajú údaje o kartách, sa musia prispôsobiť S príchodom verzie 4.0 štandardu zabezpečenia údajov v odvetví platobných kariet (PCI DSS), ktorý stanovila Rada pre bezpečnostné štandardy PCI (PCI SSC), sú zmeny dôležité a majú priamy vplyv na ochranu údajov o zákazníkoch a na to, ako sa údaje o platbách uchovávajú, spracúvajú a prenášajú, Ale napokon, čo sa skutočne mení?

Hlavnou zmenou je potreba ešte vyššej úrovne digitálnej bezpečnosti Podniky budú musieť investovať do pokročilých technológií, ako je robustné šifrovanie a viacfaktorová autentifikácia Táto metóda vyžaduje minimálne dva overovacie faktory na potvrdenie identity používateľa pred udelením prístupu k systémom, aplikáciám alebo transakciám, čo útočníkom sťažuje hackovanie, aj keď zločinci majú prístup k heslám alebo osobným údajom.

Medzi použité autentifikačné faktory patria

• Niečo, čo používateľ pozná: heslá, PIN alebo odpovede na bezpečnostné otázky.
• Niečo, čo má používateľ: fyzické tokeny, SMS s overovacími kódmi, autentifikačné aplikácie (napríklad Google Authenticator) alebo digitálne certifikáty.
• Niečo, čo je užívateľ: digitálna, tvárová biometria, rozpoznávanie hlasu alebo dúhovky.

“Tieto vrstvy ochrany značne sťažujú neoprávnený prístup a zaisťujú väčšiu bezpečnosť pre SENT dáta, vysvetľuje.

“Skrátka, musíme posilniť ochranu údajov o zákazníkoch implementáciou dodatočných opatrení na zabránenie neoprávnenému prístupu”, vysvetľuje Wagner Elias, generálny riaditeľ spoločnosti Conviso, vývojár riešenia pre bezpečnosť aplikácií.“ Už to nie je záležitosť “se prispôsobiť, keď je to potrebné to”, ale konať preventívne”, zdôrazňuje.

Podľa nových pravidiel prebieha implementácia v dvoch fázach: prvá, s 13 novými požiadavkami, mala termín v marci 2024 Už druhá fáza, náročnejšia, zahŕňa 51 dodatočných požiadaviek a mala by byť splnená do 31. marca 2025, To znamená, že tí, ktorí sa nepripravili, môžu čeliť prísnym sankciám.

Aby vyhovovali novým požiadavkám, niektoré z hlavných akcií zahŕňajú: implementovať brány firewall robustné ochranné systémy; používať šifrovanie pri prenose a ukladaní údajov; nepretržite monitorovať a sledovať podozrivý prístup a aktivitu; neustále testovať procesy a systémy na identifikáciu zraniteľností; vytvárať a udržiavať prísnu politiku informačnej bezpečnosti.

Wagner poukazuje na to, že v praxi to znamená, že každá spoločnosť, ktorá spracováva platby kartou, bude musieť prehodnotiť celú svoju digitálnu bezpečnostnú štruktúru. To zahŕňa aktualizáciu systémov, presadzovanie interných zásad a školiace tímy, aby sa minimalizovalo riziko. “Napríklad elektronický obchod bude musieť zabezpečiť, aby boli údaje o zákazníkoch šifrované od konca po koniec a aby k citlivým informáciám mali prístup iba oprávnení používatelia. Už maloobchodná sieť bude musieť implementovať mechanizmy na nepretržité monitorovanie možných pokusov o podvod a únikov údajov, uvádza ako príklad.

Banky a fintech budú tiež musieť posilniť svoje autentifikačné mechanizmy, rozšíriť používanie technológií, ako je biometria a multifaktorová autentifikácia.“O má za cieľ zvýšiť bezpečnosť transakcií bez ohrozenia zákazníckej skúsenosti. To si vyžaduje rovnováhu medzi ochranou a použiteľnosťou, čo finančný sektor už v posledných rokoch zlepšuje, zdôrazňuje.

Prečo je však táto zmena taká dôležitá? nie je prehnané povedať, že digitálne podvody sú čoraz sofistikovanejšie. Porušenie údajov môže mať za následok straty milionárov a nenapraviteľné poškodenie dôvery zákazníkov. 

Wagner Elias varuje: “mnohé spoločnosti stále prijímajú reaktívny postoj, len sa obávajú o bezpečnosť po útoku stane Toto správanie je znepokojujúce, pretože bezpečnostné zlyhania môžu spôsobiť značné finančné straty a nenapraviteľné škody na reputácii organizácie, ktoré by sa dalo vyhnúť preventívnymi opatreniami”.

Poukazuje tiež na to, že aby sa predišlo týmto rizikám, veľkým rozdielom je prijať postupy zabezpečenia aplikácií (Application Security) od začiatku vývoja novej aplikácie, čím sa zabezpečí, že každá fáza cyklu vývoja softvéru už má ochranné opatrenia. To zabezpečuje vloženie ochranných opatrení do všetkých fáz životného cyklu softvéru, pričom je oveľa hospodárnejšie ako náprava škôd po incidente an”.

Trh s bezpečnosťou aplikácií, ktorý v roku 2024 presunie 11,62 miliardy US$, by mal podľa Mordor Intelligence do roku 2029 dosiahnuť 25,92 miliardy US$.

Wagner vysvetľuje, že riešenia ako DevOps umožňujú vývoj každého riadku kódu s ochrannými postupmi, ako aj služby ako penetračné testovanie a zmierňovanie zraniteľnosti.“ Analýza výkonnosti bezpečnosti a automatizácie testov umožňuje spoločnostiam spĺňať štandardy bez kompromisov v efektívnosti on”.

Okrem toho je v tomto procese dôležité špecializované poradenstvo, ktoré pomáha spoločnostiam prispôsobiť sa novým požiadavkám PCI DSS 4.0.“ Medzi najvyhľadávanejšie služby patrí Penetračné testovanie, Red Team a bezpečnostné hodnotenia tretích strán, ktoré pomáhajú identifikovať a opraviť zraniteľné miesta skôr, ako ich môžu zneužiť zločinci z podvodu, hovorí.

S tým, že digitálne podvody sú čoraz sofistikovanejšie, ignorovanie bezpečnosti údajov už neprichádza do úvahy. “Spoločnosti, ktoré investujú do preventívnych opatrení, zabezpečujú ochranu svojich zákazníkov a posilňujú ich postavenie na trhu. Implementácia nových smerníc je v prvom rade nevyhnutným krokom k vybudovaniu bezpečnejšieho a spoľahlivejšieho platobného prostredia, uzatvára.