Usalama wa kidijitali umepata sheria mpya, na kampuni zinazochakata data ya kadi zinahitaji kubadilika. Kwa kuwasili kwa toleo la 4.0 la Kiwango cha Usalama wa Data ya Sekta ya Malipo (PCI DSS), kilichoanzishwa na Baraza la Viwango vya Usalama la PCI (PCI SSC), mabadiliko hayo ni makubwa na yanaathiri moja kwa moja ulinzi wa data ya mteja na jinsi data ya malipo inavyohifadhiwa, kuchakatwa na kusambazwa. Lakini ni nini kinachobadilika kweli?
Mabadiliko kuu ni hitaji la kiwango cha juu zaidi cha usalama wa kidijitali. Kampuni zitalazimika kuwekeza katika teknolojia za hali ya juu kama vile usimbaji fiche thabiti na uthibitishaji wa mambo mengi. Mbinu hii inahitaji angalau vipengele viwili vya uthibitishaji ili kuthibitisha utambulisho wa mtumiaji kabla ya kutoa ufikiaji wa mifumo, programu au miamala, hivyo kufanya udukuzi kuwa mgumu zaidi, hata kama wahalifu wanaweza kufikia manenosiri au data ya kibinafsi.
Miongoni mwa sababu za uthibitishaji zinazotumiwa ni:
- Kitu ambacho mtumiaji anajua : nenosiri, PIN au majibu ya maswali ya usalama.
- Kitu ambacho mtumiaji anacho : tokeni halisi, SMS zilizo na misimbo ya uthibitishaji, programu za uthibitishaji (kama vile Kithibitishaji cha Google), au vyeti vya dijitali.
- Kitu ambacho mtumiaji ni : bayometriki za kidijitali, usoni, sauti au iris.
"Tabaka hizi za ulinzi hufanya ufikiaji usioidhinishwa kuwa mgumu zaidi na kuhakikisha usalama zaidi kwa data nyeti," anafafanua.
"Kwa kifupi, tunahitaji kuimarisha ulinzi wa data ya mteja kwa kutekeleza hatua za ziada ili kuzuia upatikanaji usioidhinishwa," anaelezea Wagner Elias, Mkurugenzi Mtendaji wa Conviso, msanidi wa ufumbuzi wa usalama wa maombi. "Siyo tena suala la 'kubadilika inapobidi,' lakini ni kuchukua hatua kwa kuzuia," anasisitiza.
Chini ya sheria mpya, utekelezaji hutokea kwa awamu mbili: ya kwanza, yenye mahitaji mapya 13, ilikuwa na tarehe ya mwisho ya Machi 2024. Awamu ya pili, yenye mahitaji zaidi, inajumuisha mahitaji ya ziada ya 51 na lazima yatimizwe na Machi 31, 2025. Kwa maneno mengine, wale ambao hawawezi kujiandaa wanaweza kukabiliana na adhabu kali.
Ili kukabiliana na mahitaji mapya, baadhi ya hatua muhimu ni pamoja na: kutekeleza ngome na mifumo ya ulinzi imara; kutumia usimbaji fiche katika upitishaji na uhifadhi wa data; kuendelea kufuatilia na kufuatilia ufikiaji na shughuli zinazotiliwa shaka; kupima mara kwa mara michakato na mifumo ili kutambua udhaifu; na kuunda na kudumisha sera kali ya usalama wa habari.
Wagner anasisitiza kuwa, kwa vitendo, hii ina maana kwamba kampuni yoyote inayoshughulikia malipo ya kadi itahitaji kukagua muundo wake wote wa usalama wa kidijitali. Hii inahusisha kusasisha mifumo, kuimarisha sera za ndani, na timu za mafunzo ili kupunguza hatari. "Kwa mfano, kampuni ya e-commerce itahitaji kuhakikisha kuwa data ya mteja imesimbwa kwa njia fiche kutoka mwisho hadi mwisho na kwamba watumiaji walioidhinishwa tu ndio wanaopata habari nyeti. Mlolongo wa rejareja, kwa upande mwingine, utahitaji kutekeleza taratibu za kufuatilia mara kwa mara majaribio ya ulaghai na uvujaji wa data iwezekanavyo," anafafanua.
Benki na fintech pia zitahitaji kuimarisha mifumo yao ya uthibitishaji, kupanua matumizi ya teknolojia kama vile biometriska na uthibitishaji wa mambo mengi. "Lengo ni kufanya miamala kuwa salama zaidi bila kuathiri uzoefu wa mteja. Hii inahitaji uwiano kati ya ulinzi na matumizi, jambo ambalo sekta ya fedha imekuwa ikiimarika katika miaka ya hivi karibuni," anasisitiza.
Lakini kwa nini mabadiliko haya ni muhimu sana? Sio kutia chumvi kusema kwamba ulaghai wa kidijitali unazidi kuwa wa hali ya juu. Ukiukaji wa data unaweza kusababisha hasara ya mamilioni ya dola na uharibifu usioweza kurekebishwa kwa uaminifu wa wateja.
Wagner Elias anaonya: "Kampuni nyingi bado zinachukua mbinu tendaji, zikihangaikia tu usalama baada ya shambulio kutokea. Tabia hii inatia wasiwasi, kwani ukiukaji wa usalama unaweza kusababisha hasara kubwa za kifedha na uharibifu usioweza kurekebishwa kwa sifa ya shirika, ambayo inaweza kuepukwa kwa hatua za kuzuia."
Anasisitiza zaidi kwamba ili kuepuka hatari hizi, muhimu ni kupitisha mazoea ya Usalama wa Maombi tangu mwanzo wa maendeleo ya programu mpya, kuhakikisha kwamba kila awamu ya mzunguko wa maendeleo ya programu tayari ina hatua za ulinzi. Hii inahakikisha kwamba hatua za ulinzi zinatekelezwa katika hatua zote za maisha ya programu, ambayo ni ya gharama nafuu zaidi kuliko kurekebisha uharibifu baada ya tukio."
Inafaa kumbuka kuwa huu ni mwelekeo unaokua ulimwenguni kote. Soko la usalama la maombi, ambalo lilikuwa na thamani ya dola bilioni 11.62 mnamo 2024, linatarajiwa kufikia $ 25.92 bilioni ifikapo 2029, kulingana na Mordor Intelligence.
Wagner anaeleza kuwa suluhu kama vile DevOps huruhusu kila mstari wa msimbo kutengenezwa kwa mbinu salama, pamoja na huduma kama vile majaribio ya kupenya na kupunguza uwezekano wa kuathirika. "Kufanya uchambuzi endelevu wa usalama na majaribio ya kiotomatiki huruhusu kampuni kufuata kanuni bila kuathiri ufanisi," anasisitiza.
Zaidi ya hayo, huduma maalum za ushauri ni muhimu katika mchakato huu, kusaidia makampuni kukabiliana na mahitaji mapya ya PCI DSS 4.0. "Miongoni mwa huduma zinazotafutwa sana ni Upimaji wa Kupenya, Timu Nyekundu, na tathmini za usalama za watu wengine, ambazo husaidia kutambua na kurekebisha udhaifu kabla ya kunyonywa na wahalifu," anafafanua.
Huku ulaghai wa kidijitali ukizidi kuwa wa hali ya juu, kupuuza usalama wa data si chaguo tena. "Kampuni zinazowekeza katika hatua za kuzuia huhakikisha ulinzi wa wateja wao na kuimarisha nafasi yao ya soko. Utekelezaji wa miongozo mpya ni, juu ya yote, hatua muhimu kuelekea kujenga mazingira salama na ya kuaminika zaidi ya malipo," anahitimisha.
