Digital säkerhet har precis fått nya regler, och företag som behandlar kortdata måste anpassa sig. Med ankomsten av version 4.0 av Payment Card Industry Data Security Standard (PCI DSS), fastställd av PCI Security Standards Council (PCI SSC), är förändringarna betydande och påverkar direkt skyddet av kunddata och hur betalningsdata lagras, bearbetas och överförs. Men vad förändras egentligen?
Den största förändringen är behovet av en ännu högre nivå av digital säkerhet. Företag kommer att behöva investera i avancerad teknik som robust kryptering och flerfaktorsautentisering. Denna metod kräver minst två verifieringsfaktorer för att bekräfta en användares identitet innan åtkomst till system, applikationer eller transaktioner beviljas, vilket gör hackning svårare, även om brottslingar får tillgång till lösenord eller personuppgifter.
Bland de autentiseringsfaktorer som används finns:
- Något som användaren vet : lösenord, PIN-koder eller svar på säkerhetsfrågor.
- Något som användaren har : fysiska tokens, SMS med verifieringskoder, autentiseringsappar (som Google Authenticator) eller digitala certifikat.
- Något användaren är : digital, ansikts-, röst- eller irisigenkänningsbiometri.
”Dessa skyddslager gör obehörig åtkomst mycket svårare och säkerställer större säkerhet för känsliga uppgifter”, förklarar han.
”Kort sagt, vi behöver stärka skyddet av kunddata genom att implementera ytterligare åtgärder för att förhindra obehörig åtkomst”, förklarar Wagner Elias, VD för Conviso, en utvecklare av applikationssäkerhetslösningar. ”Det handlar inte längre om att ’anpassa sig vid behov’, utan om att agera förebyggande”, betonar han.
Enligt de nya reglerna sker implementeringen i två faser: den första, med 13 nya krav, hade en deadline i mars 2024. Den andra, mer krävande fasen, inkluderar 51 ytterligare krav och måste vara uppfyllda senast den 31 mars 2025. Med andra ord kan de som inte förbereder sig riskera allvarliga straff.
För att anpassa sig till de nya kraven inkluderar några av de viktigaste åtgärderna: implementering av brandväggar och robusta skyddssystem; användning av kryptering vid dataöverföring och lagring; kontinuerlig övervakning och spårning av misstänkt åtkomst och aktivitet; ständigt tester av processer och system för att identifiera sårbarheter; samt skapande och upprätthållande av en rigorös informationssäkerhetspolicy.
Wagner betonar att detta i praktiken innebär att alla företag som hanterar kortbetalningar måste se över hela sin digitala säkerhetsstruktur. Detta innebär att uppdatera system, stärka interna policyer och utbilda team för att minimera risker. ”Till exempel måste ett e-handelsföretag säkerställa att kunddata är end-to-end-krypterad och att endast behöriga användare har tillgång till känslig information. En detaljhandelskedja, å andra sidan, måste implementera mekanismer för att kontinuerligt övervaka eventuella bedrägeriförsök och dataläckor”, förklarar han.
Banker och fintech-företag kommer också att behöva stärka sina autentiseringsmekanismer och utöka användningen av tekniker som biometri och multifaktorautentisering. ”Målet är att göra transaktioner säkrare utan att kompromissa med kundupplevelsen. Detta kräver en balans mellan skydd och användbarhet, något som finanssektorn har förbättrat de senaste åren”, betonar han.
Men varför är denna förändring så viktig? Det är ingen överdrift att säga att digitala bedrägerier blir alltmer sofistikerade. Dataintrång kan resultera i miljontals dollar i förluster och oåterkallelig skada på kundernas förtroende.
Wagner Elias varnar: ”Många företag använder fortfarande en reaktiv strategi och oroar sig bara för säkerheten efter att en attack inträffat. Detta beteende är oroande, eftersom säkerhetsintrång kan leda till betydande ekonomiska förluster och irreparabel skada på organisationens rykte, vilket skulle kunna undvikas med förebyggande åtgärder.”
Han betonar vidare att för att undvika dessa risker är nyckeln att införa applikationssäkerhetspraxis från början av den nya applikationens utveckling, och säkerställa att varje fas i programvaruutvecklingscykeln redan har skyddsåtgärder. Detta säkerställer att skyddsåtgärder implementeras i alla skeden av programvarulivscykeln, vilket är mycket mer kostnadseffektivt än att åtgärda skador efter en incident.
Det är värt att notera att detta är en växande trend världen över. Marknaden för applikationssäkerhet, som värderades till 11,62 miljarder dollar år 2024, förväntas nå 25,92 miljarder dollar år 2029, enligt Mordor Intelligence.
Wagner förklarar att lösningar som DevOps gör det möjligt att utveckla varje kodrad med säkra metoder, utöver tjänster som penetrationstester och sårbarhetsreducering. "Att genomföra kontinuerlig säkerhetsanalys och testautomatisering gör det möjligt för företag att följa regler utan att kompromissa med effektiviteten", betonar han.
Dessutom är specialiserade konsulttjänster viktiga i denna process och hjälper företag att anpassa sig till de nya PCI DSS 4.0-kraven. ”Bland de mest eftertraktade tjänsterna finns penetrationstester, Red Team och säkerhetsbedömningar från tredje part, vilka hjälper till att identifiera och korrigera sårbarheter innan de kan utnyttjas av brottslingar”, förklarar han.
I takt med att digitala bedrägerier blir alltmer sofistikerade är det inte längre ett alternativ att ignorera datasäkerhet. ”Företag som investerar i förebyggande åtgärder säkerställer skyddet för sina kunder och stärker sin marknadsposition. Att implementera de nya riktlinjerna är framför allt ett viktigt steg mot att bygga en säkrare och mer pålitlig betalningsmiljö”, avslutar han.
