Digitalna varnost je pravkar dobila nova pravila in podjetja, ki obdelujejo podatke o karticah, se morajo prilagoditi. S prihodom različice 4.0 standarda za varnost podatkov v industriji plačilnih kartic (PCI DSS), ki ga je določil Svet za varnostne standarde PCI (PCI SSC), so spremembe pomembne in neposredno vplivajo na zaščito podatkov strank ter na to, kako se podatki o plačilih shranjujejo, obdelujejo in prenašajo. Kaj pa se resnično spremeni?
Glavna sprememba je potreba po še višji ravni digitalne varnosti. Podjetja bodo morala vlagati v napredne tehnologije, kot sta robustno šifriranje in večfaktorska avtentikacija. Ta metoda zahteva vsaj dva faktorja preverjanja za potrditev identitete uporabnika, preden se odobri dostop do sistemov, aplikacij ali transakcij, zaradi česar je vdor težji, tudi če kriminalci dobijo dostop do gesel ali osebnih podatkov.
Med uporabljenimi dejavniki preverjanja pristnosti so:
- Nekaj, kar uporabnik ve : gesla, PIN-i ali odgovori na varnostna vprašanja.
- Nekaj, kar ima uporabnik : fizični žetoni, SMS s potrditvenimi kodami, aplikacije za preverjanje pristnosti (kot je Google Authenticator) ali digitalna potrdila.
- Nekaj, kar uporabnik je : digitalna biometrija, prepoznavanje obraza, glasu ali šarenice.
»Te plasti zaščite močno otežujejo nepooblaščen dostop in zagotavljajo večjo varnost občutljivih podatkov,« pojasnjuje.
»Skratka, okrepiti moramo zaščito podatkov strank z uvedbo dodatnih ukrepov za preprečevanje nepooblaščenega dostopa,« pojasnjuje Wagner Elias, izvršni direktor podjetja Conviso, razvijalca rešitev za varnost aplikacij. »Ne gre več za to, da se 'prilagodimo, ko je to potrebno', ampak za preventivno delovanje,« poudarja.
V skladu z novimi pravili izvajanje poteka v dveh fazah: prva, s 13 novimi zahtevami, je imela rok za izpolnitev marca 2024. Druga, zahtevnejša faza vključuje 51 dodatnih zahtev in jo je treba izpolniti do 31. marca 2025. Z drugimi besedami, tisti, ki se ne pripravijo, se lahko soočijo s hudimi kaznimi.
Za prilagoditev novim zahtevam so med ključnimi ukrepi: uvedba požarnih zidov in robustnih zaščitnih sistemov; uporaba šifriranja pri prenosu in shranjevanju podatkov; nenehno spremljanje in sledenje sumljivim dostopom in dejavnostim; nenehno testiranje procesov in sistemov za odkrivanje ranljivosti; ter oblikovanje in vzdrževanje stroge politike informacijske varnosti.
Wagner poudarja, da to v praksi pomeni, da bo moralo vsako podjetje, ki obravnava plačila s karticami, pregledati celotno svojo digitalno varnostno strukturo. To vključuje posodabljanje sistemov, krepitev notranjih politik in usposabljanje ekip za zmanjšanje tveganj. »Na primer, podjetje za e-trgovino bo moralo zagotoviti, da so podatki o strankah šifrirani od začetka do konca in da imajo dostop do občutljivih informacij le pooblaščeni uporabniki. Trgovska veriga pa bo morala uvesti mehanizme za stalno spremljanje morebitnih poskusov goljufij in uhajanja podatkov,« pojasnjuje.
Banke in fintech podjetja bodo morala okrepiti tudi svoje mehanizme za preverjanje pristnosti in razširiti uporabo tehnologij, kot sta biometrija in večfaktorska avtentikacija. »Cilj je povečati varnost transakcij, ne da bi pri tem ogrozili uporabniško izkušnjo. To zahteva ravnovesje med zaščito in uporabnostjo, kar finančni sektor v zadnjih letih izboljšuje,« poudarja.
Zakaj pa je ta sprememba tako pomembna? Brez pretiravanja lahko rečemo, da digitalne goljufije postajajo vse bolj sofisticirane. Kršitve podatkov lahko povzročijo milijonske izgube in nepopravljivo škodo zaupanju strank.
Wagner Elias opozarja: »Številna podjetja še vedno uporabljajo reaktiven pristop in se za varnost obremenjujejo šele po napadu. Takšno vedenje je zaskrbljujoče, saj lahko varnostne kršitve povzročijo znatne finančne izgube in nepopravljivo škodo ugledu organizacije, čemur bi se lahko izognili s preventivnimi ukrepi.«
Nadalje poudarja, da je za preprečevanje teh tveganj ključnega pomena uvedba praks varnosti aplikacij že od začetka razvoja nove aplikacije, s čimer se zagotovi, da ima vsaka faza razvojnega cikla programske opreme že zaščitne ukrepe. To zagotavlja, da se zaščitni ukrepi izvajajo v vseh fazah življenjskega cikla programske opreme, kar je veliko bolj stroškovno učinkovito kot sanacija škode po incidentu.
Omeniti velja, da gre za rastoči trend po vsem svetu. Trg varnosti aplikacij, ki je bil leta 2024 ocenjen na 11,62 milijarde dolarjev, naj bi do leta 2029 dosegel 25,92 milijarde dolarjev, poroča Mordor Intelligence.
Wagner pojasnjuje, da rešitve, kot je DevOps, omogočajo razvoj vsake vrstice kode z varnimi praksami, poleg storitev, kot sta testiranje penetracije in zmanjševanje ranljivosti. »Izvajanje stalne varnostne analize in avtomatizacije testiranja omogoča podjetjem, da upoštevajo predpise, ne da bi pri tem ogrozili učinkovitost,« poudarja.
Poleg tega so v tem procesu pomembne specializirane svetovalne storitve, ki podjetjem pomagajo pri prilagajanju novim zahtevam PCI DSS 4.0. »Med najbolj iskanimi storitvami so testiranje vdora, Red Team in varnostne ocene tretjih oseb, ki pomagajo prepoznati in odpraviti ranljivosti, preden jih lahko izkoristijo kriminalci,« pojasnjuje.
Ker digitalne goljufije postajajo vse bolj sofisticirane, ignoriranje varnosti podatkov ni več možnost. »Podjetja, ki vlagajo v preventivne ukrepe, zagotavljajo zaščito svojih strank in krepijo svoj tržni položaj. Izvajanje novih smernic je predvsem bistven korak k izgradnji varnejšega in zanesljivejšega plačilnega okolja,« zaključuje.
