Siguria dixhitale sapo ka fituar rregulla të reja dhe kompanitë që përpunojnë të dhënat e kartave duhet të përshtaten. Me mbërritjen e versionit 4.0 të Standardit të Sigurisë së të Dhënave të Industrisë së Kartave të Pagesave (PCI DSS), të krijuar nga Këshilli i Standardeve të Sigurisë PCI (PCI SSC), ndryshimet janë të rëndësishme dhe ndikojnë drejtpërdrejt në mbrojtjen e të dhënave të klientëve dhe në mënyrën se si ruhen, përpunohen dhe transmetohen të dhënat e pagesave. Por çfarë ndryshon në të vërtetë?
Ndryshimi kryesor është nevoja për një nivel edhe më të lartë të sigurisë dixhitale. Kompanitë do të duhet të investojnë në teknologji të përparuara, të tilla si enkriptimi i fuqishëm dhe autentifikimi shumëfaktorësh. Kjo metodë kërkon të paktën dy faktorë verifikimi për të konfirmuar identitetin e një përdoruesi përpara se të japë akses në sisteme, aplikacione ose transaksione, duke e bërë më të vështirë hakimin, edhe nëse kriminelët fitojnë akses në fjalëkalime ose të dhëna personale.
Ndër faktorët e autentifikimit të përdorur janë:
- Diçka që përdoruesi e di : fjalëkalime, PIN ose përgjigje të pyetjeve të sigurisë.
- Diçka që përdoruesi ka : tokena fizikë, SMS me kode verifikimi, aplikacione autentifikuesi (si Google Authenticator) ose certifikata dixhitale.
- Diçka që përdoruesi është : biometrikë dixhitale, të njohjes së fytyrës, zërit ose të irisit.
“Këto shtresa mbrojtjeje e bëjnë aksesin e paautorizuar shumë më të vështirë dhe sigurojnë siguri më të madhe për të dhënat e ndjeshme”, shpjegon ai.
"Shkurt, ne duhet të forcojmë mbrojtjen e të dhënave të klientëve duke zbatuar masa shtesë për të parandaluar aksesin e paautorizuar", shpjegon Wagner Elias, Drejtor Ekzekutiv i Conviso, një zhvillues i zgjidhjeve të sigurisë së aplikacioneve. "Nuk është më çështje 'përshtatjeje kur është e nevojshme', por veprimi parandalues", thekson ai.
Sipas rregullave të reja, zbatimi ndodh në dy faza: e para, me 13 kërkesa të reja, kishte një afat deri në mars 2024. Faza e dytë, më e kërkuar, përfshin 51 kërkesa shtesë dhe duhet të përmbushet deri më 31 mars 2025. Me fjalë të tjera, ata që nuk përgatiten mund të përballen me penalitete të rënda.
Për t'u përshtatur me kërkesat e reja, disa nga veprimet kryesore përfshijnë: zbatimin e firewall-eve dhe sistemeve të fuqishme mbrojtëse; përdorimin e enkriptimit në transmetimin dhe ruajtjen e të dhënave; monitorimin dhe gjurmimin e vazhdueshëm të aksesit dhe aktivitetit të dyshimtë; testimin e vazhdueshëm të proceseve dhe sistemeve për të identifikuar dobësitë; dhe krijimin dhe mirëmbajtjen e një politike rigoroze të sigurisë së informacionit.
Wagner thekson se, në praktikë, kjo do të thotë që çdo kompani që merret me pagesa me karta do të duhet të rishikojë të gjithë strukturën e saj të sigurisë dixhitale. Kjo përfshin përditësimin e sistemeve, forcimin e politikave të brendshme dhe trajnimin e ekipeve për të minimizuar rreziqet. "Për shembull, një kompani e tregtisë elektronike do të duhet të sigurojë që të dhënat e klientëve të jenë të enkriptuara nga fillimi në fund dhe që vetëm përdoruesit e autorizuar të kenë qasje në informacione të ndjeshme. Një zinxhir shitjesh me pakicë, nga ana tjetër, do të duhet të zbatojë mekanizma për të monitoruar vazhdimisht përpjekjet e mundshme të mashtrimit dhe rrjedhjet e të dhënave", shpjegon ai.
Bankat dhe kompanitë fintech do të duhet gjithashtu të forcojnë mekanizmat e tyre të autentifikimit, duke zgjeruar përdorimin e teknologjive të tilla si biometrika dhe autentifikimi shumëfaktorësh. "Qëllimi është që transaksionet të jenë më të sigurta pa kompromentuar përvojën e klientit. Kjo kërkon një ekuilibër midis mbrojtjes dhe përdorshmërisë, diçka që sektori financiar e ka përmirësuar vitet e fundit", thekson ai.
Por pse është kaq i rëndësishëm ky ndryshim? Nuk është ekzagjerim të thuhet se mashtrimi dixhital po bëhet gjithnjë e më i sofistikuar. Shkeljet e të dhënave mund të rezultojnë në miliona dollarë humbje dhe dëme të pariparueshme për besimin e klientëve.
Wagner Elias paralajmëron: "Shumë kompani ende ndjekin një qasje reaktive, duke u shqetësuar për sigurinë vetëm pasi të ndodhë një sulm. Kjo sjellje është shqetësuese, pasi shkeljet e sigurisë mund të çojnë në humbje të konsiderueshme financiare dhe dëme të pariparueshme për reputacionin e organizatës, të cilat mund të shmangen me masa parandaluese."
Ai thekson më tej se për të shmangur këto rreziqe, çelësi është të miratohen praktikat e Sigurisë së Aplikacioneve që nga fillimi i zhvillimit të aplikacionit të ri, duke siguruar që çdo fazë e ciklit të zhvillimit të softuerit të ketë tashmë masa mbrojtëse. Kjo siguron që masat mbrojtëse të zbatohen në të gjitha fazat e ciklit jetësor të softuerit, gjë që është shumë më efektive nga ana e kostos sesa riparimi i dëmeve pas një incidenti.
Vlen të përmendet se ky është një trend në rritje në mbarë botën. Tregu i sigurisë së aplikacioneve, i cili u vlerësua në 11.62 miliardë dollarë në vitin 2024, pritet të arrijë në 25.92 miliardë dollarë deri në vitin 2029, sipas Mordor Intelligence.
Wagner shpjegon se zgjidhje si DevOps lejojnë që çdo rresht kodi të zhvillohet me praktika të sigurta, përveç shërbimeve si testimi i depërtimit dhe zbutja e cenueshmërisë. "Kryerja e analizave të vazhdueshme të sigurisë dhe automatizimi i testimit u lejon kompanive të përmbushin rregulloret pa kompromentuar efikasitetin", thekson ai.
Për më tepër, shërbimet e specializuara të konsulencës janë të rëndësishme në këtë proces, duke i ndihmuar kompanitë të përshtaten me kërkesat e reja të PCI DSS 4.0. "Ndër shërbimet më të kërkuara janë Testimi i Penetrimit, Red Team dhe vlerësimet e sigurisë nga palë të treta, të cilat ndihmojnë në identifikimin dhe korrigjimin e dobësive përpara se ato të shfrytëzohen nga kriminelët", shpjegon ai.
Me mashtrimin dixhital që po bëhet gjithnjë e më i sofistikuar, injorimi i sigurisë së të dhënave nuk është më një opsion. "Kompanitë që investojnë në masa parandaluese sigurojnë mbrojtjen e klientëve të tyre dhe forcojnë pozicionin e tyre në treg. Zbatimi i udhëzimeve të reja është, mbi të gjitha, një hap thelbësor drejt ndërtimit të një mjedisi pagesash më të sigurt dhe më të besueshëm", përfundon ai.
