PCI zaostruje pravila in e-trgovine potrebujejo višjo raven varnosti

Digitalna varnost je pravkar pridobila nova pravila in podjetja, ki obdelujejo podatke o karticah, se morajo prilagoditi S prihodom različice 4.0 standarda varnosti podatkov industrije plačilnih kartic (PCI DSS), ki ga je vzpostavil Svet za varnostne standarde PCI (PCI SSC), so spremembe pomembne in neposredno vplivajo na zaščito podatkov strank in na to, kako se podatki o plačilih shranjujejo, obdelujejo in prenašajo. Toda, navsezadnje, kaj se resnično spremeni?

Glavna sprememba je potreba po še višji ravni digitalne varnosti.Podjetja bodo morala vlagati v napredne tehnologije, kot sta robustno šifriranje in večfaktorska avtentikacija.Ta metoda zahteva vsaj dva faktorja preverjanja za potrditev identitete uporabnika, preden odobri dostop do sistemov, aplikacij ali transakcij, kar napadalcem oteži vdor, tudi če imajo kriminalci dostop do gesel ali osebnih podatkov.

Med uporabljenimi dejavniki avtentikacije so

• Nekaj, kar uporabnik ve: gesla, PIN-i ali odgovori na varnostna vprašanja.
• Nekaj, kar ima uporabnik: fizični žetoni, SMS s kodami za preverjanje, aplikacije za preverjanje pristnosti (kot je Google Authenticator) ali digitalna potrdila.
• Nekaj, kar je uporabnik: digitalno, biometrija obraza, prepoznavanje glasu ali šarenice.

“Te plasti zaščite veliko otežujejo nepooblaščen dostop in zagotavljajo večjo varnost za POSLANE podatke, pojasnjuje.

“Skratka, okrepiti moramo varstvo podatkov strank z izvajanjem dodatnih ukrepov za preprečevanje nepooblaščenega dostopa й, pojasnjuje Wagner Elias, izvršni direktor Conviso, razvijalec rešitve za varnost aplikacij. ”Ne gre več za “se prilagoditi, ko je treba й, ampak delovati preventivno й, poudarja.

Po novih pravilih izvajanje poteka v dveh fazah: prva, s 13 novimi zahtevami, je imela rok marca 2024. Že druga faza, zahtevnejša, vključuje 51 dodatnih zahtev in bi morala biti izpolnjena do 31. marca 2025.To pomeni, da se tisti, ki se niso pripravili, lahko soočijo s strogimi kaznimi.

Da bi ustrezali novim zahtevam, nekateri glavni ukrepi vključujejo: izvajanje požarni zidovi (firewalls) robustni zaščitni sistemi; uporaba šifriranja pri prenosu in shranjevanju podatkov; stalno spremljanje in sledenje sumljivega dostopa in dejavnosti; nenehno preizkušanje procesov in sistemov za prepoznavanje ranljivosti; ustvariti in vzdrževati strogo politiko informacijske varnosti.

Wagner poudarja, da v praksi to pomeni, da bo moralo vsako podjetje, ki obravnava kartična plačila, pregledati svojo celotno digitalno varnostno strukturo.To vključuje posodabljanje sistemov, uveljavljanje notranjih politik in usposabljanje ekip za zmanjšanje tveganja. “Na primer, e-trgovina bo morala zagotoviti, da so podatki o strankah šifrirani od konca do konca in da imajo dostop do občutljivih informacij le pooblaščeni uporabniki. Že maloprodajno omrežje bo moralo izvajati mehanizme za stalno spremljanje morebitnih poskusov goljufij in uhajanja podatkov.

Banke in fintechs bodo morali okrepiti tudi svoje mehanizme za preverjanje pristnosti, razširitev uporabe tehnologij, kot so biometrija in večfaktorska avtentikacija.“O želi narediti transakcije bolj varne, ne da bi ogrozili uporabniško izkušnjo.To zahteva ravnovesje med zaščito in uporabnostjo, nekaj, kar je finančni sektor že v zadnjih letih izboljšujeй, poudarja.

Toda zakaj je ta sprememba tako pomembna. Ni pretiravanje, če rečemo, da so digitalne goljufije vse bolj izpopolnjene. Kršitve podatkov lahko povzročijo milijonarske izgube in nepopravljivo škodo zaupanju strank. 

Wagner Elias opozarja: “mnoga podjetja še vedno zavzamejo reaktivno držo, skrb za varnost pa je zaskrbljujoča šele po napadu. To vedenje je zaskrbljujoče, saj lahko varnostni neuspehi povzročijo znatne finančne izgube in nepopravljivo škodo ugledu organizacije, čemur bi se lahko izognili s preventivnimi ukrepi.

Poudarja tudi, da je v izogib tem tveganjem velika razlika v sprejemanju praks varnosti aplikacij (Application Security) od začetka razvoja nove aplikacije, s čimer se zagotovi, da ima vsaka faza cikla razvoja programske opreme že zaščitne ukrepe. To zagotavlja vstavljanje zaščitnih ukrepov v vse faze življenjskega cikla programske opreme, saj je veliko bolj ekonomično kot odpravljanje škode po incidentu anй.

Trg varnosti aplikacij, ki v letu 2024 premakne US$ za 11,62 milijarde, naj bi po podatkih Mordor Intelligence do leta 2029 dosegel US$ 25,92 milijarde.

Wagner pojasnjuje, da rešitve, kot je DevOps, omogočajo razvoj vsake vrstice kode z zaščitnimi praksami, pa tudi s storitvami, kot sta testiranje penetracije in ublažitev ranljivosti.“ Analiza uspešnosti varnosti in avtomatizacija testiranja omogoča podjetjem, da izpolnjujejo standarde brez ogrožanja učinkovitosti diskov.

Poleg tega je v tem procesu pomembno specializirano svetovanje, ki podjetjem pomaga pri prilagajanju novim zahtevam PCI DSS 4.0.“Med najbolj iskanimi storitvami so Penetration Testing, Red Team in varnostne ocene tretjih oseb, ki pomagajo prepoznati in popraviti ranljivosti, preden jih lahko izkoristijo diskriministi, pravi.

Z digitalnimi goljufijami, ki postajajo vse bolj izpopolnjene, ignoriranje varnosti podatkov ni več možnost. “Podjetja, ki vlagajo v preventivne ukrepe, zagotavljajo zaščito svojih strank in krepijo svoj položaj na trgu.Izvajanje novih smernic je najprej bistven korak za izgradnjo varnejšega in zanesljivejšega plačilnega okolja.