Den digitala säkerheten har precis fått nya regler och företagen som hanterar kortuppgifter måste anpassa sig. Med lanseringen av version 4.0 av Payment Card Industry Data Security Standard (PCI DSS), fastställd av PCI Security Standards Council (PCI SSC), är förändringarna viktiga och påverkar direkt skyddet av kunddata samt hur betalningsuppgifter lagras, bearbetas och överförs. Men, vad förändras egentligen?
Den största förändringen är behovet av en ännu högre nivå av digital säkerhet. Företagen kommer att behöva investera i avancerad teknik, som robust kryptering och multifaktorautentisering. Den här metoden kräver minst två verifieringsfaktorer för att bekräfta användarens identitet innan åtkomst till system, appar eller transaktioner beviljas, vilket gör intrång svårare även om brottslingar har tillgång till lösenord eller personuppgifter.
Bland de autentiseringsfaktorer som används finns:
- Något som användaren vetlösenord, PIN-koder eller svar på säkerhetsfrågor.
- Något som användaren harfysiska tokens, SMS med verifieringskoder, autentiseringsappar eller digitala certifikat.
- Något som användaren ärdigital biometria, ansiktsigenkänning, röstigenkänning eller iris.
"De dessa skyddslag gör obehörig åtkomst mycket svårare och säkerställer större säkerhet för känsliga data", förklarar.
Sammanfattningsvis är det nödvändigt att stärka skyddet av kundernas data genom att implementera ytterligare åtgärder för att förhindra obehörig åtkomst, förklarar Wagner Elias, VD för Conviso, en utvecklare av applikationssäkerhetslösningar. "Det är inte längre en fråga om att 'anpassa sig när det är nödvändigt', utan om att agera proaktivt", betonas.
Enligt de nya reglerna sker implementeringen i två faser: den första, med 13 nya krav, hade deadline i mars 2024. Den andra fasen, som är mer krävande, inkluderar 51 ytterligare krav och bör vara uppfylld senast den 31 mars 2025. Det vill säga, den som inte förbereder sig kan möta allvarliga straff.
För att möta de nya kraven inkluderar några av de viktigaste åtgärderna: implementerabrandväggaroch robusta skyddssystem; använda kryptering vid överföring och lagring av data; kontinuerligt övervaka och spåra åtkomst och misstänkta aktiviteter; regelbundet testa processer och system för att identifiera sårbarheter; skapa och upprätthålla en strikt informationssäkerhetspolicy.
Wagner betonar att detta i praktiken innebär att varje företag som hanterar kortbetalningar kommer att behöva granska hela sin digitala säkerhetsstruktur. Detta innebär att uppdatera system, stärka interna policyer och träna team för att minimera risker. Till exempel måste en e-handelsplats säkerställa att kunduppgifterna är end-to-end krypterade och att endast behöriga användare har tillgång till känslig information. En detaljhandelskedja måste däremot implementera mekanismer för att kontinuerligt övervaka möjliga bedrägeriförsök och dataläckor, förklarar han.
Banker och fintechs kommer också att behöva stärka sina autentiseringsmekanismer genom att utöka användningen av teknologier som biometrik och multifaktorautentisering. "Målet är att göra transaktionerna säkrare utan att kompromissa med kundupplevelsen. Det kräver en balans mellan skydd och användbarhet, något som finanssektorn redan har förbättrat under de senaste åren," betonas.
Men varför är denna förändring så viktig? Det är ingen överdrift att säga att digitala bedrägerier blir allt mer sofistikerade. Dataintrång kan leda till miljonförluster och oåterkalleliga skador på kundernas förtroende.
Wagner Elias varnar: "många företag antar fortfarande en reaktiv hållning, oroar sig bara för säkerhet efter att en attack inträffar. Detta beteende är oroande eftersom säkerhetsbrister kan leda till betydande ekonomiska förluster och oåterkalleliga skador på organisationens rykte, vilka skulle kunna undvikas med förebyggande åtgärder."
Han betonar också att för att undvika dessa risker är den stora skillnaden att anta Application Security-praktiker från början av utvecklingen av den nya applikationen, och säkerställa att varje fas i mjukvaruutvecklingscykeln redan har skyddsåtgärder. Detta säkerställer införandet av skyddsåtgärder i alla faser av programvarans livscykel, vilket är mycket mer kostnadseffektivt än att åtgärda skador efter en incident.
Det är värt att komma ihåg att detta är en trend som växer över hela världen. Säkerhetsmarknaden för applikationer, som omsätter 11,62 miljarder USD år 2024, förväntas nå 25,92 miljarder USD till 2029, enligt Mordor Intelligence.
Wagner förklarar att lösningar som DevOps gör det möjligt för varje kodrad att utvecklas med skyddspraxis, förutom tjänster som penetrationstester och sårbarhetsmitigering. Att kontinuerliga säkerhets- och testautomatiseringsanalyser gör det möjligt för företagen att följa reglerna utan att kompromissa med effektiviteten, betonas.
Dessutom är specialiserade konsultföretag viktiga i denna process, eftersom de hjälper företagen att anpassa sig till de nya kraven i PCI DSS 4.0. Bland de mest efterfrågade tjänster finns Penetration Testing, Red Team och tredjeparts säkerhetsbedömningar, som hjälper till att identifiera och åtgärda sårbarheter innan de kan utnyttjas av brottslingar, berättar han.
Med allt mer sofistikerade digitala bedrägerier är det inte längre ett alternativ att ignorera dataskyddet. Företag som investerar i förebyggande åtgärder säkerställer sina kunders skydd och stärker sin position på marknaden. Att implementera de nya riktlinjerna är, framför allt, ett viktigt steg för att skapa en säkrare och mer pålitlig betalningsmiljö, avslutar han.
