Den digitala säkerheten har just fått nya regler och företag som hanterar kortdata måste anpassa sig. Med ankomsten av version 4.0 till standard för datasäkerhet inom betalningskortsektorn (PCI DSS), etablerat av PCI Security Standards Council (PCI SSC), förändringarna är viktiga och påverkar direkt skyddet av kundernas data och hur betalningsdata lagras, bearbetade och överförda. Men, till slut, vad som verkligen förändras
Den huvudsakliga förändringen är behovet av en ännu högre nivå av digital säkerhet. Företagen kommer att behöva investera i avancerad teknik, som som robust kryptografi och multifaktorsautentisering. Denna metod kräver minst två verifieringsfaktorer för att bekräfta användarens identitet innan åtkomst till system ges, applikationer eller transaktioner, svårighetsgrad för invasioner, även om brottslingar har tillgång till lösenord eller personuppgifter
Bland de autentiseringsfaktorer som används finns:
- Något som användaren vetlösenord, PIN-koder eller svar på säkerhetsfrågor
- Något som användaren harfysiska tokens, SMS med verifieringskoder, autentiseringsappar (som Google Authenticator) eller digitala certifikat
- Något som användaren ärdigital biometrik, ansikts-, röstigenkänning eller iris
"Dessa skyddslagren gör obehörig åtkomst mycket svårare och garanterar ökad säkerhet för känslig information", förklara
⁇ Kortfattat, det behövs stärkas skyddet av kunders data, genom att implementera ytterligare åtgärder för att förhindra otillåtna åtkomst ⁇, förklara Wagner Elias, VD för Conviso, utvecklare av lösning för säkerhet av applikationer. "Det handlar inte längre om att 'anpassa sig när det behövs'", mer om att agera förebyggande, utmärker
Enligt de nya reglerna, implementeringen sker i två faser: den första, med 13 nya krav, det hade sista datumet i mars 2024. Den andra fasen, mer krävande, inkluderar 51 ytterligare krav och bör uppfyllas senast den 31 mars 2025. Det vill säga,den som inte förberedde sig kan möta stränga straff
För att anpassa sig till de nya kraven, några av de viktigaste åtgärderna inkluderar: genomförabrandväggaroch robusta skyddssystem; använda kryptografi vid överföring och lagring av data; övervaka och spåra kontinuerligt åtkomst och misstänkt aktivitet; testa processer och system kontinuerligt för att identifiera sårbarheter; skapa och upprätthålla en strikt informationssäkerhetspolicy
Wagner betonar att, i praktiken, detta betyder att alla företag som hanterar betalningar via kort måste granska hela sin digitala säkerhetsstruktur. Detta involverar att uppdatera system, stärka interna policyer och träna team för att minimera risker. Till exempel, en e-handel måste säkerställa att kunddata är krypterade från slutpunkt till slutpunkt och att endast auktoriserade användare har tillgång till känslig information. En detaljhandelskedja måste implementera mekanismer för att kontinuerligt övervaka möjliga försök till bedrägerier och dataläckor, exemplifiera
Banker och fintechs kommer också att behöva stärka sina autentiseringsmekanismer, utvidar användningen av teknologier som biometrik och multifaktorsautentisering. Målet är att göra transaktionerna säkrare utan att kompromissa med kundupplevelsen. Det kräver en balans mellan skydd och användbarhet, något som den finansiella sektorn redan har förbättrat under de senaste åren, utmärker
Men, varför är denna förändring så viktig? Det är ingen överdrift att säga att digitala bedrägerier blir allt mer sofistikerade. Dataintrång kan leda till miljonförluster och oåterkalleliga skador på kundernas förtroende.
Wagner Elias varnar: "många företag har fortfarande en reaktiv hållning, bara orolig för säkerhet efter att en attack har inträffat. Detta beteende är oroande, eftersom säkerhetsmisslyckanden kan medföra betydande ekonomiska förluster och irreparabel skada på organisationens rykte, som kunde undvikas med förebyggande åtgärder
Han framhäver fortfarande att för att undvika dessa risker, den stora differentialen är att anta metoder av Application Security (Applikationssäkerhet) från början av utvecklingen av den nya applikationen, säkerställa att varje fas av mjukvaruutvecklingscykeln redan har skyddsåtgärder. Detta säkerställer införandet av skyddsåtgärder i alla faser av programvarans livscykel, är mycket mer ekonomiskt än att åtgärda skador efter en incident
Det är värt att påminna om att detta är en trend som har vuxit över hela världen. Marknaden för applikationssäkerhet, som som rör sig om 11 USD,62 miljarder år 2024, ska nå upp till 25 USD,92 miljarder fram till 2029, enligt Mordor Intelligence
Wagner förklarar att lösningar som DevOps, tillåter att varje kodrad utvecklas med skyddspraxis, förutom tjänster som intrångstester och sårbarhetsmitigering. "Att genomföra kontinuerliga säkerhetsanalyser och automatisering av tester gör att företag kan uppfylla standarderna utan att kompromissa med effektiviteten", utmärker
Dessutom, specialiserade konsultföretag är viktiga i denna process, hjälpa företag att anpassa sig till de nya kraven i PCI DSS 4.0. Bland de de mest efterfrågade tjänsterna finns Penetration Testing, Röd team och tredjeparts säkerhetsbedömningar, som hjälper till att identifiera och åtgärda sårbarheter innan de kan utnyttjas av brottslingar, konto
Med allt mer sofistikerade digitala bedrägerier, att ignorera dataskydd är inte längre ett alternativ. Företag som investerar i förebyggande åtgärder säkerställer skyddet av sina kunder och stärker sin position på marknaden. Att genomföra de nya riktlinjerna är, först och främst, ett viktigt steg för att bygga en säkrare och mer pålitlig betalningsmiljö, slutade
