I Brasil, där kreditkort är en av de viktigaste betalningsmetoderna och digitala data har ett värde som kan jämföras med kontanter, blir riskerna för bedrägerier online allt mer närvarande, vilket kräver ökad uppmärksamhet från konsumenter och företag.
För att få en uppfattning om problemets omfattning har fyra av tio brasilianare redan blivit offer för bedrägerier och finansiella bedrägerier i landet, vilket utgör 42 % av brasilianarna. Datan kommer från "Digital Identitets- och Bedrägerirapporten 2024", en undersökning gjord av Serasa Experian.
En annan studie, nu från National Confederation of Shop Managers (CNDL) och Credit Protection Service (SPC Brasil), i samarbete med Sebrae, visar att cirka 8,4 miljoner konsumenter rapporterade bedrägerier hos finansinstitut under de senaste 12 månaderna. Bland de bedrägerier är kopiering av kredit- och betalkort den vanligaste typen av bedrägeri.
Även om ungefär 70 % av brasilianarna har tre eller fler kort, enligt Serasa, är riskuppfattningen fortfarande låg. Cirka 69 % av brasilianarna underskattar fortfarande faran med att registrera finansiella uppgifter på webbplatser och appar, vilket lämnar en stor del av befolkningen utsatt för digitala bedrägerier och cyberattacker.
Mitt i den växande varningen om digital säkerhet dyker goda nyheter upp: nya initiativ och teknologiska framsteg gör den online miljön säkrare varje dag.
Nyligen föreslog PCI Security Standards Council (PCI SSC) nya riktlinjer för kontinuerlig utveckling och förbättring av säkerhetsstandarder, tillämpliga för företag som lagrar, bearbetar eller överför betalningsuppgifter, samt för mjukvaruutvecklare och tillverkare av enheter som används vid transaktioner. PCI är en global organisation som samlar de ledande aktörerna inom betalningsindustrin för att främja användningen av resurser för säkra transaktioner.
Allt eftersom hoten och teknologin utvecklas uppdateras också PCI DSS-kraven. Därför är det viktigt att vara uppmärksam på de nya kraven och göra de nödvändiga anpassningarna, varnar Wagner Elias, VD för Conviso, en utvecklare av applikationssäkerhetslösningar.
Bland de uppdateringarna finns de för PCI DSS (Payment Card Industry Data Security Standard), som skapades för att skydda hela värdekedjan för kortbetalningar. Dina krav på efterlevnad omfattar allt från lagring av kortinnehavares data till säkerhet vid åtkomst till känslig betalningsinformation.
Sammanfattningsvis är det nödvändigt att stärka skyddet av kundernas data genom att implementera ytterligare åtgärder för att förhindra obehörig åtkomst, säger experten.
Således kommer företagen att behöva anpassa sig och investera i ny teknik. För att ge en uppfattning kan några av dessa lösningar ge en fullständig översikt över riskerna relaterade till varje applikation. Dessa verktyg integrerar olika system, centraliserar information och hjälper till att prioritera åtgärder, allt på ett kontinuerligt sätt, förklarar Conviso:s VD om deras plattform Conviso Platform Application Security Posture Management (ASPM), som lanserades 2010.
Dock är experten som framhäver att många företag fortfarande tar en reaktiv inställning till säkerheten för sina system och bara prioriterar ämnet efter att ha blivit utsatta för en attack. Denna beteende är, enligt honom, oroande eftersom säkerhetsbrister kan leda till betydande ekonomiska förluster och oåterkalleliga skador på organisationens rykte, vilka skulle kunna undvikas med förebyggande åtgärder.
För honom är det avgörande att företaget införlivar säkerhet i varje fas av utvecklingscykeln när man skapar ny programvara, från kravinsamling (den första fasen som analyserar vad appen ska göra) till driftsättning (produktion och slutleverans).
"För att undvika dessa risker är den stora skillnaden att anta praxis för applikationssäkerhet (Security of Applications) från början av utvecklingen av den nya applikationen. Detta säkerställer att skyddsåtgärder införs i alla faser av mjukvarans livscykel. Utöver att vara betydligt mer kostnadseffektivt än att åtgärda skador efter en incident är investering i förebyggande säkerhet mycket mer effektivt. Detta möjliggör att förebygga attacker, skydda känsliga data, säkerställa efterlevnad av lagar och riktlinjer, samt garantera att applikationen är säker och pålitlig för användarna från början", säger experten.
Wagner förklarar att företaget utvecklar lösningar som integrerar säkerhet i DevOps, vilket gör att varje kodrad utvecklas med skyddande metoder, samt tjänster som penetrationstester och sårbarhetsmitigering. Att utföra kontinuerliga säkerhets- och testautomatiseringsanalyser gör det möjligt för företagen att följa reglerna utan att kompromissa med effektiviteten, betonar Wagner.
Förutom implementeringen av robusta teknologier betonar Conviso-VD:ns VD vikten av specialiserade konsulttjänster som hjälper företagen att anpassa sig till kraven i PCI DSS 4.0 och andra regleringar. Offensiva tjänster som Penetration Testing, Red Team och tredjeparts säkerhetsbedömningar främjar en proaktiv och heltäckande säkerhetsstrategi, genom att identifiera och åtgärda sårbarheter innan de kan utnyttjas.
Investeringar bör accelerera
Denna omvandling inom digital säkerhet stärker inte bara konsumenternas förtroende för en säker online-miljö, utan följer också den snabba tillväxten på marknaden för applikationssäkerhet, som enligt Mordor Intelligence förväntas expandera från 11,62 miljarder USD 2024 till 25,92 miljarder USD till 2029. "Implementering av avancerad teknik markerar en vändpunkt inom digitalt skydd och stärker förtroendet på en marknad som, mer än någonsin, är beroende av säkerhet för att blomstra", avslutar Wagner.
Kontrollera listan över de 12 kraven för PCI DSS som efterlevnadskontrollen 4.0 måste uppfylla:
- Installera och underhålla en brandvägg
- Ta bort leverantörens standardinställning
- Skydda de lagrade uppgifterna för kortinnehavaren
- Kryptera överföringen av betalningsdata
- Uppdatera antivirusprogrammet regelbundet
- Implementera säkra system och applikationer
- Begränsa åtkomsten till kortinnehavarens data vid behov
- Tilldela användarens åtkomstidentifiering
- Begränsa fysisk åtkomst till uppgifterna
- Spåra och övervaka åtkomst till nätverket
- Testa processer och system kontinuerligt i jakten på sårbarheter
- Skapa och upprätthålla en informationssäkerhetspolicy
Implementeringen av riktlinjerna för PCI DSS 4.0 sker i två faser:
- Den första fasen, med 13 nya krav, hade slutdatum den 31 mars 2024.
- Den andra fasen, med 51 ytterligare krav, ska genomföras senast den 31 mars 2025.
