V Braziliji, kjer je kreditna kartica ena glavnih oblik plačila in so digitalni podatki primerljive vrednosti kot gotovina, tveganje spletnih prevar postajajo vse bolj prisotna, zahteva povečano pozornost potrošnikov in podjetij
Da bi se dobila ideja o razmjeru problema, štiri od desetih Brazilcev so že postali žrtve prevar in finančnih goljufij v državi, kaj predstavlja 42% Brazilcev. Podatki so iz "Poročila o digitalni identiteti in prevari 2024", raziskava, ki jo je izvedel Serasa Experian
Drugo raziskovanje, zdaj konfederacije nacionalnih trgovskih voditeljev (CNDL) in službe za zaščito kreditov (SPC Brasil), v sodelovanju s Sebrae, prikazuje, da je okoli 8,4 milijone potrošnikov je poročalo o prevarah v finančnih institucijah v zadnjih 12 mesecih. Med drugim udarci, kloniranje kreditnih i debetnih kartica predstavlja glavni tip prevare.
Čeprav ima približno 70% Brazilcev tri ali več kartic, kot kaže Serasa, percepcija tveganja je še vedno nizka. Približno 69% Brazilcev še vedno podcenjuje nevarnost vnašanja finančnih podatkov na spletne strani in aplikacije, kar pomeni, da je velik del prebivalstva izpostavljen digitalnim prevaram in kibernetskim napadom.
Sredi naraščajočega opozorila o digitalni varnosti, dobre dobre novice prihajajo: nove pobude in tehnološki napredki vsak dan naredijo spletno okolje bolj varno.
Nedavno, PCI Security Standards Council (PCI SSC) je predlagal nove smernice za nadaljnji razvoj in izboljšanje varnostnih standardov, veljavne za podjetja, ki shranjujejo, obdelujejo ali prenašajo podatke o plačilih, kot tudi razvijalcem in proizvajalcem programske opreme ter naprav, ki se uporabljajo pri transakcijah. PCI je globalna organizacija, ki združuje glavne akterje v industriji plačil za spodbujanje uporabe sredstev za varne transakcije.
"Ko se grožnje in tehnologija razvijajo", standardi PCI DSS se prav tako posodabljajo. Tako, treba biti pozoren, zdaj, na nove zahteve in izvesti potrebne prilagoditve, opozorilo Wagner Elias, CEO podjetja Conviso, razvijalec rešitev za varnost aplikacij
Med posodobitvami so tudi posodobitve Standarda za varnost podatkov v plačilni industriji (PCI DSS), ustvarjen za zaščito celotne vrednostne verige plačil s karticami. Vaši zahtevi za skladnost zajemajo shranjevanje podatkov imetnikov kartic do varnosti pri dostopu do občutljivih plačilnih informacij
Na kratko, potrebno je okrepiti zaščito podatkov strank, uvajanje dodatnih ukrepov za preprečevanje nepooblaščenih dostopov, pravi strokovnjak
Tako, podjetja se bodo morala prilagoditi in vlagati v nove tehnologije. Da bi dobili idejo, nekatere od teh rešitev so sposobne zagotoviti celovit vpogled v tveganja, povezana z vsako aplikacijo. Te orodja integrirajo različne sisteme, centraliziranje informacij in pomoč pri prioritetizaciji dejanj, vse na neprekinjen način, pojasni CEO-ja Convisa, o vaši platformi Conviso Platform Application Security Posture Management (ASPM), izdana leta 2010
Vendar, strokovnjak poudarja, da mnoge podjetja še vedno sprejemajo reaktivno stališče glede varnosti svojih sistemov, samo prioritizirali temo po tem, ko so utrpeli napad. To vedenje, po njegovem, je zaskrbljujoče, sajti varnostne pomanjkljivosti lahko povzročijo znatne finančne izgube in nepopravljivo škodo ugledu organizacije, ki bi lahko preprečili z preventivnimi ukrepi
Zanjega, pri razmišljanju o ustvarjanju nove programske opreme, je nujno, da podjetje vključi varnost v vsako fazo ustvarjalnega cikla, od zbiranja zahtevov (prva faza, ki analizira, kaj bo aplikacija izvajala) do uvedbe (proizvodnja in končna dostava).
"Da bi se izognili tem tveganjem", velika prednost je usvajanje praksi sigurnosti aplikacija od samog početka razvoja nove aplikacije. To zagotavlja vključitev zaščitnih ukrepov v vseh fazah življenjskega cikla programske opreme. Poleg tega je bistveno cenejše kot odpraviti škodo po incidentu, investiranje v preventivno varnost je veliko bolj učinkovito. To omogoča preprečevanje napadov, zaščititi občutljive podatke, zagotoviti skladnost z zakonodajo in smernicami, in zagotoviti, da je aplikacija varna in zanesljiva za uporabnike od samega začetka, pravi strokovnjak
Wagner pojasnjuje, da podjetje razvija rešitve, ki integrirajo varnost v DevOps, omogočanje, da se vsaka vrstica kode razvije s praksami zaščite, poleg storitev, kot so testiranje vdorov in omilitev ranljivosti. “Nenehno izvajanje analiz varnosti in avtomatizacije testov omogoča podjetjem, da izpolnjujejo standarde, ne da bi ogrozili učinkovitost”, izpostavlja Wagnerja
Poleg implementacije robustnih tehnologij, CEO podjetja Conviso poudarja pomen specializiranih svetovalnih storitev, ki pomagajo podjetjem, da se prilagodijo zahtevam PCI DSS 4.0 in druge regulative. Ofenzivni storitvi, kot je testiranje penetracije, Rde ekipa in ocene varnosti tretjih oseb spodbujajo proaktiven in celovit pristop k varnosti, identificiranje in odpravljanje ranljivosti, preden jih je mogoče izkoristiti.
Naložbe se morajo pospešiti
Ta transformacija v digitalni varnosti ne le krepi zaupanje potrošnikov v varno spletno okolje, kot tudi spremlja hitro rastoči trg varnosti aplikacij, ki mora razširiti na 11 USD,62 milijard v letu 2024 za 25 USD,92 milijard do 2029, po podatkih Mordor Intelligence. “Uvedba vrhunske tehnologije označuje prelomnico v digitalni zaščiti in krepi zaupanje na trgu, ki je odvisen, več kot kdaj koli prej, za varnost za napredek, zaključuje Wagner.
Preverite seznam 12 zahtev PCI DSS, ki jih preverja skladnost 4.0 mora izpolniti:
- Namestiti in vzdrževati požarni zid
- Odstranite privzeto nastavitev dobavitelja
- Zavarovati shranjene podatke imetnika kartice
- Šifriranje prenosa podatkov o plačilu
- Redno posodabljanje protivirusne programske opreme
- Uvesti varne sisteme in aplikacije
- Omejiti dostop do podatkom imetnika kartice po potrebi
- Dodelitev identifikacije dostopa uporabnika
- Omejiti fizični dostop do podatkov
- Spremljati in nadzorovati dostop do omrežja
- Nenehati procese in sisteme nenehno v iskanju ranljivosti
- Ustvariti in vzdrževati politiko informacijske varnosti
Izvedba smernic PCI DSS 4.0 se izvaja v dveh fazah
- Prva faza, s 13 novimi zahtevami, rok za zaključek je bil 31. marec 2024
- Druga faza, s 51 dodatnimi zahtevami, mora biti izvedena do 31. marca 2025
