Kreditkort: vad förändras med de nya digitala säkerhetsreglerna

Digital säkerhet har precis fått nya regler och företag som behandlar kortdata behöver anpassa sig Med ankomsten av version 4.0 av Payment Card Industry Data Security Standard (PCI DSS), som inrättats av PCI Security Standards Council (PCI SSC), är förändringarna viktiga och direkt påverkar skyddet av kunddata och hur betalningsdata lagras, bearbetas och överförs.Men, trots allt, vad förändras egentligen?

Den största förändringen är behovet av en ännu högre nivå av digital säkerhet. Företag kommer att behöva investera i avancerad teknik som robust kryptering och multifaktorautentisering. Denna metod kräver minst två verifieringsfaktorer för att bekräfta användarens identitet innan de ger tillgång till system, applikationer eller transaktioner, vilket gör det svårt för angripare att hacka även om brottslingar har tillgång till lösenord eller personuppgifter.

Bland de autentiseringsfaktorer som används är

• Något användaren vet: lösenord, PIN-koder eller svar på säkerhetsfrågor.
• Något användaren har: fysiska tokens, SMS med verifieringskoder, autentisering av applikationer (som Google Authenticator) eller digitala certifikat.
• Något användaren är: digital, ansiktsbiometri, röst- eller irisigenkänning.

“Dessa skyddslager gör obehörig åtkomst mycket svårare och säkerställer större säkerhet för SENT-data, förklarar han.

“Kort sagt, vi behöver stärka skyddet av kunddata genom att genomföra ytterligare åtgärder för att förhindra obehörig åtkomst”, förklarar Wagner Elias, VD för Conviso, utvecklare av lösning för applikationssäkerhet. “Det är inte längre en fråga om “se adaptera när det är nödvändigt att”, men att agera förebyggande”, påpekar han.

Enligt de nya reglerna sker genomförandet i två faser: den första, med 13 nya krav, hade tidsfristen i mars 2024.Redan den andra fasen, mer krävande, omfattar 51 ytterligare krav och bör vara uppfyllda senast den 31 mars 2025.Det vill säga de som inte förberedde sig kan ställas inför stränga straff.

För att passa de nya kraven inkluderar några av huvudåtgärderna: implementera brandväggar robusta skyddssystem; använda kryptering vid dataöverföring och lagring; kontinuerligt övervaka och spåra misstänkt åtkomst och aktivitet; ständigt testa processer och system för att identifiera sårbarheter; skapa och upprätthålla en strikt informationssäkerhetspolicy.

Wagner påpekar att detta i praktiken innebär att alla företag som hanterar kortbetalningar kommer att behöva se över hela sin digitala säkerhetsstruktur. Detta innebär att uppdatera system, upprätthålla interna policyer och utbilda team för att minimera risken. “ Till exempel kommer en e-handel att behöva säkerställa att kunddata krypteras från början till slut och att endast auktoriserade användare har tillgång till känslig information. Redan ett detaljhandelsnätverk kommer att behöva implementera mekanismer för att kontinuerligt övervaka eventuella bedrägeriförsök och dataläckor”, exemplifierar han.

Banker och fintechs kommer också att behöva stärka sina autentiseringsmekanismer, utöka användningen av tekniker som biometri och multifaktorautentisering.“O syftar till att göra transaktioner säkrare utan att kompromissa med kundupplevelsen.Detta kräver en balans mellan skydd och användbarhet, något som finanssektorn redan har förbättrats de senaste åren”, påpekar han.

Men varför är denna förändring så viktig?Det är ingen överdrift att säga att digitala bedrägerier blir allt mer sofistikerade.Dataintrång kan resultera i miljonärsförluster och irreparabel skada på kundernas förtroende. 

Wagner Elias varnar: “många företag antar fortfarande en reaktiv hållning, bara oroa sig för säkerheten efter en attack händer.Detta beteende är oroande, eftersom säkerhetsfel kan orsaka betydande ekonomiska förluster och irreparabel skada på organisationens rykte, vilket skulle kunna undvikas med förebyggande åtgärder”.

Han påpekar också att för att undvika dessa risker är den stora skillnaden att anta praxis för applikationssäkerhet (applikationssäkerhet) från början av utvecklingen av den nya applikationen, vilket säkerställer att varje fas av mjukvaruutvecklingscykeln redan har skyddsåtgärder. Detta säkerställer införandet av skyddsåtgärder i alla faser av programvarans livscykel, vilket är mycket mer ekonomiskt än att avhjälpa skadan efter en förljugen incident.

Applikationssäkerhetsmarknaden, som flyttar US$ 11,62 miljarder år 2024, förväntas nå US$ 25,92 miljarder år 2029, enligt Mordor Intelligence.

Wagner förklarar att lösningar som DevOps gör att varje kodrad kan utvecklas med skyddsmetoder, såväl som tjänster som penetrationstestning och sårbarhetsreducering.“Prestandaanalys av säkerhet och testautomatisering gör det möjligt för företag att uppfylla standarder utan att kompromissa med effektiviteten.

Dessutom är specialiserad rådgivning viktig i denna process, vilket hjälper företag att anpassa sig till de nya kraven i PCI DSS 4.0.“Bland de mest eftertraktade tjänsterna är Penetration Testing, Red Team och tredje parts säkerhetsbedömningar, som hjälper till att identifiera och korrigera sårbarheter innan de kan utnyttjas av” brottslingar, säger han.

I och med att digitala bedrägerier blir mer sofistikerade är det inte längre ett alternativ att ignorera datasäkerhet. “Företag som investerar i förebyggande åtgärder säkerställer skyddet av sina kunder och stärker sin position på marknaden.Att implementera de nya riktlinjerna är först och främst ett väsentligt steg för att bygga en säkrare och mer tillförlitlig betalningsmiljö”, avslutar han.