Дигитална безбедност је управо добила нова правила, а компаније које обрађују податке о картицама морају се прилагодити. Са доласком верзије 4.0 Стандарда за безбедност података индустрије платних картица (PCI DSS), који је утврдио Савет за безбедносне стандарде PCI (PCI SSC), промене су значајне и директно утичу на заштиту података купаца и начин на који се подаци о плаћању чувају, обрађују и преносе. Али шта се заиста мења?
Главна промена је потреба за још вишим нивоом дигиталне безбедности. Компаније ће морати да инвестирају у напредне технологије као што су робусна енкрипција и вишефакторска аутентификација. Ова метода захтева најмање два фактора верификације како би се потврдио идентитет корисника пре него што се одобри приступ системима, апликацијама или трансакцијама, што отежава хаковање, чак и ако криминалци добију приступ лозинкама или личним подацима.
Међу коришћеним факторима аутентификације су:
- Нешто што корисник зна : лозинке, ПИН-ови или одговори на безбедносна питања.
- Нешто што корисник поседује : физички токени, СМС са верификационим кодовима, апликације за аутентификовање (као што је Google Authenticator) или дигитални сертификати.
- Нешто што корисник јесте : дигитална биометрија, препознавање лица, гласа или ириса.
„Ови слојеви заштите знатно отежавају неовлашћени приступ и обезбеђују већу безбедност осетљивих података“, објашњава он.
„Укратко, потребно је да ојачамо заштиту података купаца применом додатних мера за спречавање неовлашћеног приступа“, објашњава Вагнер Елијас, извршни директор компаније Conviso, произвођача решења за безбедност апликација. „Више није ствар у томе да се 'прилагођавамо када је потребно', већ да делујемо превентивно“, наглашава он.
Према новим правилима, имплементација се одвија у две фазе: прва, са 13 нових захтева, имала је рок до марта 2024. године. Друга, захтевнија фаза, обухвата 51 додатни захтев и мора бити испуњена до 31. марта 2025. године. Другим речима, они који се не припреме могу се суочити са озбиљним казнама.
Да би се прилагодили новим захтевима, неке од кључних акција укључују: имплементацију заштитних зидова (фајервола) и робусних система заштите; коришћење енкрипције у преносу и складиштењу података; континуирано праћење и праћење сумњивих приступа и активности; стално тестирање процеса и система ради идентификације рањивости; и креирање и одржавање ригорозне политике безбедности информација.
Вагнер наглашава да то у пракси значи да ће свака компанија која се бави плаћањем картицама морати да преиспита целу своју дигиталну безбедносну структуру. То подразумева ажурирање система, јачање интерних политика и обуку тимова како би се ризици свели на минимум. „На пример, компанија за електронску трговину мораће да осигура да су подаци о купцима шифровани од почетка до краја и да само овлашћени корисници имају приступ осетљивим информацијама. С друге стране, ланац малопродаје мораће да имплементира механизме за континуирано праћење могућих покушаја преваре и цурења података“, објашњава он.
Банке и финтех компаније ће такође морати да ојачају своје механизме аутентификације, проширујући употребу технологија као што су биометрија и вишефакторска аутентификација. „Циљ је да се трансакције учине безбеднијим без угрожавања корисничког искуства. Ово захтева равнотежу између заштите и употребљивости, нешто што финансијски сектор побољшава последњих година“, наглашава он.
Али зашто је ова промена толико важна? Није претеривање рећи да дигиталне преваре постају све софистицираније. Кршење података може довести до губитака од милиона долара и непоправљиве штете по поверење купаца.
Вагнер Елијас упозорава: „Многе компаније и даље усвајају реактивни приступ, бринући се о безбедности тек након што се напад догоди. Овакво понашање је забрињавајуће, јер кршења безбедности могу довести до значајних финансијских губитака и непоправљиве штете по репутацију организације, што би се могло избећи превентивним мерама.“
Он даље наглашава да је, како би се избегли ови ризици, кључно усвојити праксе безбедности апликација од почетка развоја нове апликације, осигуравајући да свака фаза циклуса развоја софтвера већ има заштитне мере. Ово осигурава да се заштитне мере имплементирају у свим фазама животног циклуса софтвера, што је много исплативије од санирања штете након инцидента.
Вреди напоменути да је ово растући тренд широм света. Тржиште безбедности апликација, које је 2024. године процењено на 11,62 милијарде долара, требало би да достигне 25,92 милијарде долара до 2029. године, према подацима компаније Mordor Intelligence.
Вагнер објашњава да решења попут DevOps-а омогућавају да се свака линија кода развија уз безбедне праксе, поред услуга попут тестирања пенетрације и ублажавања рањивости. „Спровођење континуиране безбедносне анализе и аутоматизације тестирања омогућава компанијама да се придржавају прописа без угрожавања ефикасности“, наглашава он.
Штавише, специјализоване консултантске услуге су важне у овом процесу, помажући компанијама да се прилагоде новим захтевима PCI DSS 4.0. „Међу најтраженијим услугама су тестирање продора, Ред тим и безбедносне процене трећих страна, које помажу у идентификацији и исправљању рањивости пре него што их криминалци могу искористити“, објашњава он.
Са све софистициранијим дигиталним преварама, игнорисање безбедности података више није опција. „Компаније које улажу у превентивне мере осигуравају заштиту својих купаца и јачају своју тржишну позицију. Спровођење нових смерница је, пре свега, суштински корак ка изградњи безбеднијег и поузданијег окружења за плаћања“, закључује он.
