டிஜிட்டல் பாதுகாப்பு புதிய விதிகளைப் பெற்றுள்ளது, மேலும் அட்டைத் தரவைச் செயலாக்கும் நிறுவனங்கள் மாற்றியமைக்க வேண்டும். PCI பாதுகாப்பு தரநிலைகள் கவுன்சில் (PCI SSC) நிறுவிய கட்டண அட்டை தொழில் தரவு பாதுகாப்பு தரநிலையின் (PCI DSS) பதிப்பு 4.0 இன் வருகையுடன், மாற்றங்கள் குறிப்பிடத்தக்கவை மற்றும் வாடிக்கையாளர் தரவின் பாதுகாப்பையும், கட்டணத் தரவு எவ்வாறு சேமிக்கப்படுகிறது, செயலாக்கப்படுகிறது மற்றும் அனுப்பப்படுகிறது என்பதையும் நேரடியாகப் பாதிக்கின்றன. ஆனால் உண்மையில் என்ன மாறுகிறது?
முக்கிய மாற்றம் இன்னும் உயர்ந்த அளவிலான டிஜிட்டல் பாதுகாப்பின் தேவை. நிறுவனங்கள் வலுவான குறியாக்கம் மற்றும் பல காரணி அங்கீகாரம் போன்ற மேம்பட்ட தொழில்நுட்பங்களில் முதலீடு செய்ய வேண்டியிருக்கும். இந்த முறைக்கு அமைப்புகள், பயன்பாடுகள் அல்லது பரிவர்த்தனைகளுக்கு அணுகலை வழங்குவதற்கு முன் பயனரின் அடையாளத்தை உறுதிப்படுத்த குறைந்தது இரண்டு சரிபார்ப்பு காரணிகள் தேவைப்படுகின்றன, இது குற்றவாளிகள் கடவுச்சொற்கள் அல்லது தனிப்பட்ட தரவை அணுகினாலும் கூட, ஹேக்கிங்கை மிகவும் கடினமாக்குகிறது.
பயன்படுத்தப்படும் அங்கீகார காரணிகளில்:
- பயனருக்குத் தெரிந்த ஒன்று : கடவுச்சொற்கள், பின்கள் அல்லது பாதுகாப்பு கேள்விகளுக்கான பதில்கள்.
- பயனரிடம் இருக்கும் ஒன்று : இயற்பியல் டோக்கன்கள், சரிபார்ப்புக் குறியீடுகளுடன் கூடிய SMS, அங்கீகரிப்பு பயன்பாடுகள் (Google அங்கீகரிப்பு போன்றவை) அல்லது டிஜிட்டல் சான்றிதழ்கள்.
- பயனர் ஏதோ ஒன்று : டிஜிட்டல், முகம், குரல் அல்லது கருவிழி அங்கீகார பயோமெட்ரிக்ஸ்.
"இந்த பாதுகாப்பு அடுக்குகள் அங்கீகரிக்கப்படாத அணுகலை மிகவும் கடினமாக்குகின்றன மற்றும் முக்கியமான தரவுகளுக்கு அதிக பாதுகாப்பை உறுதி செய்கின்றன," என்று அவர் விளக்குகிறார்.
"சுருக்கமாகச் சொன்னால், அங்கீகரிக்கப்படாத அணுகலைத் தடுக்க கூடுதல் நடவடிக்கைகளைச் செயல்படுத்துவதன் மூலம் வாடிக்கையாளர் தரவுகளின் பாதுகாப்பை வலுப்படுத்த வேண்டும்," என்று பயன்பாட்டு பாதுகாப்பு தீர்வுகளை உருவாக்கும் கான்விசோவின் தலைமை நிர்வாக அதிகாரி வாக்னர் எலியாஸ் விளக்குகிறார். "இது இனி 'தேவைப்படும்போது மாற்றியமைப்பது' அல்ல, மாறாக தடுப்பு நடவடிக்கை எடுப்பதுதான்" என்று அவர் வலியுறுத்துகிறார்.
புதிய விதிகளின் கீழ், செயல்படுத்தல் இரண்டு கட்டங்களாக நடைபெறுகிறது: முதலாவது, 13 புதிய தேவைகளுடன், மார்ச் 2024 வரை காலக்கெடுவைக் கொண்டிருந்தது. இரண்டாவது, மிகவும் கடினமான கட்டத்தில், 51 கூடுதல் தேவைகள் உள்ளன, மேலும் அவை மார்ச் 31, 2025 க்குள் பூர்த்தி செய்யப்பட வேண்டும். வேறு வார்த்தைகளில் கூறுவதானால், தயாராகத் தவறியவர்கள் கடுமையான தண்டனைகளை சந்திக்க நேரிடும்.
புதிய தேவைகளுக்கு ஏற்ப, சில முக்கிய நடவடிக்கைகளில் பின்வருவன அடங்கும்: ஃபயர்வால்கள் மற்றும் வலுவான பாதுகாப்பு அமைப்புகளை செயல்படுத்துதல்; தரவு பரிமாற்றம் மற்றும் சேமிப்பில் குறியாக்கத்தைப் பயன்படுத்துதல்; சந்தேகத்திற்கிடமான அணுகல் மற்றும் செயல்பாட்டைத் தொடர்ந்து கண்காணித்தல் மற்றும் கண்காணித்தல்; பாதிப்புகளை அடையாளம் காண செயல்முறைகள் மற்றும் அமைப்புகளைத் தொடர்ந்து சோதித்தல்; மற்றும் கடுமையான தகவல் பாதுகாப்புக் கொள்கையை உருவாக்குதல் மற்றும் பராமரித்தல்.
நடைமுறையில், கார்டு கட்டணங்களைக் கையாளும் எந்தவொரு நிறுவனமும் அதன் முழு டிஜிட்டல் பாதுகாப்பு கட்டமைப்பையும் மதிப்பாய்வு செய்ய வேண்டும் என்பதை வாக்னர் வலியுறுத்துகிறார். இதில் அமைப்புகளைப் புதுப்பித்தல், உள் கொள்கைகளை வலுப்படுத்துதல் மற்றும் அபாயங்களைக் குறைக்க குழுக்களுக்கு பயிற்சி அளித்தல் ஆகியவை அடங்கும். "எடுத்துக்காட்டாக, ஒரு மின்வணிக நிறுவனம் வாடிக்கையாளர் தரவு முழுமையாக குறியாக்கம் செய்யப்பட்டுள்ளதா என்பதையும், அங்கீகரிக்கப்பட்ட பயனர்கள் மட்டுமே முக்கியமான தகவல்களை அணுக முடியும் என்பதையும் உறுதி செய்ய வேண்டும். மறுபுறம், ஒரு சில்லறை விற்பனைச் சங்கிலி, சாத்தியமான மோசடி முயற்சிகள் மற்றும் தரவு கசிவுகளைத் தொடர்ந்து கண்காணிக்க வழிமுறைகளை செயல்படுத்த வேண்டும்," என்று அவர் விளக்குகிறார்.
வங்கிகளும் நிதி தொழில்நுட்ப நிறுவனங்களும் தங்கள் அங்கீகார வழிமுறைகளை வலுப்படுத்த வேண்டும், பயோமெட்ரிக்ஸ் மற்றும் பல காரணி அங்கீகாரம் போன்ற தொழில்நுட்பங்களின் பயன்பாட்டை விரிவுபடுத்த வேண்டும். "வாடிக்கையாளர் அனுபவத்தை சமரசம் செய்யாமல் பரிவர்த்தனைகளை மிகவும் பாதுகாப்பானதாக்குவதே இதன் குறிக்கோள். இதற்கு பாதுகாப்பு மற்றும் பயன்பாட்டிற்கு இடையில் சமநிலை தேவைப்படுகிறது, இது சமீபத்திய ஆண்டுகளில் நிதித்துறை மேம்படுத்தி வருகிறது," என்று அவர் வலியுறுத்துகிறார்.
ஆனால் இந்த மாற்றம் ஏன் மிகவும் முக்கியமானது? டிஜிட்டல் மோசடி பெருகிய முறையில் நுட்பமாகி வருகிறது என்று சொன்னால் அது மிகையாகாது. தரவு மீறல்கள் மில்லியன் கணக்கான டாலர்களை இழப்பதற்கும் வாடிக்கையாளர் நம்பிக்கைக்கு ஈடுசெய்ய முடியாத சேதத்திற்கும் வழிவகுக்கும்.
"பல நிறுவனங்கள் இன்னும் எதிர்வினையாற்றும் அணுகுமுறையைக் கடைப்பிடிக்கின்றன, தாக்குதல் நடந்த பிறகு பாதுகாப்பைப் பற்றி மட்டுமே கவலைப்படுகின்றன. இந்த நடத்தை கவலையளிக்கிறது, ஏனெனில் பாதுகாப்பு மீறல்கள் குறிப்பிடத்தக்க நிதி இழப்புகளுக்கும் நிறுவனத்தின் நற்பெயருக்கு ஈடுசெய்ய முடியாத சேதத்திற்கும் வழிவகுக்கும், இதை தடுப்பு நடவடிக்கைகள் மூலம் தவிர்க்கலாம்" என்று வாக்னர் எலியாஸ் எச்சரிக்கிறார்.
இந்த அபாயங்களைத் தவிர்க்க, புதிய பயன்பாட்டின் வளர்ச்சியின் தொடக்கத்திலிருந்தே பயன்பாட்டுப் பாதுகாப்பு நடைமுறைகளைப் பின்பற்றுவதே முக்கியமாகும் என்றும், மென்பொருள் மேம்பாட்டுச் சுழற்சியின் ஒவ்வொரு கட்டத்திலும் ஏற்கனவே பாதுகாப்பு நடவடிக்கைகள் இருப்பதை உறுதி செய்வதே முக்கியம் என்றும் அவர் மேலும் வலியுறுத்துகிறார். இது மென்பொருள் வாழ்க்கைச் சுழற்சியின் அனைத்து நிலைகளிலும் பாதுகாப்பு நடவடிக்கைகள் செயல்படுத்தப்படுவதை உறுதி செய்கிறது, இது ஒரு சம்பவத்திற்குப் பிறகு சேதத்தை சரிசெய்வதை விட மிகவும் செலவு குறைந்ததாகும்."
இது உலகளவில் வளர்ந்து வரும் போக்கு என்பது குறிப்பிடத்தக்கது. 2024 ஆம் ஆண்டில் $11.62 பில்லியனாக மதிப்பிடப்பட்ட பயன்பாட்டு பாதுகாப்பு சந்தை, 2029 ஆம் ஆண்டில் $25.92 பில்லியனை எட்டும் என்று எதிர்பார்க்கப்படுகிறது என்று மோர்டோர் இன்டலிஜென்ஸ் தெரிவித்துள்ளது.
DevOps போன்ற தீர்வுகள், ஊடுருவல் சோதனை மற்றும் பாதிப்புத் தணிப்பு போன்ற சேவைகளுடன் கூடுதலாக, ஒவ்வொரு குறியீட்டு வரிசையையும் பாதுகாப்பான நடைமுறைகளுடன் உருவாக்க அனுமதிக்கின்றன என்று வாக்னர் விளக்குகிறார். "தொடர்ச்சியான பாதுகாப்பு பகுப்பாய்வு மற்றும் சோதனை ஆட்டோமேஷன் நடத்துவது நிறுவனங்கள் செயல்திறனை சமரசம் செய்யாமல் விதிமுறைகளுக்கு இணங்க அனுமதிக்கிறது," என்று அவர் வலியுறுத்துகிறார்.
மேலும், இந்த செயல்பாட்டில் சிறப்பு ஆலோசனை சேவைகள் முக்கியமானவை, புதிய PCI DSS 4.0 தேவைகளுக்கு ஏற்ப நிறுவனங்கள் மாற்றியமைக்க உதவுகின்றன. "மிகவும் விரும்பப்படும் சேவைகளில் ஊடுருவல் சோதனை, ரெட் டீம் மற்றும் மூன்றாம் தரப்பு பாதுகாப்பு மதிப்பீடுகள் ஆகியவை அடங்கும், அவை குற்றவாளிகளால் சுரண்டப்படுவதற்கு முன்பு பாதிப்புகளைக் கண்டறிந்து சரிசெய்ய உதவுகின்றன," என்று அவர் விளக்குகிறார்.
டிஜிட்டல் மோசடி பெருகிய முறையில் அதிநவீனமாகி வருவதால், தரவு பாதுகாப்பைப் புறக்கணிப்பது இனி ஒரு விருப்பமல்ல. "தடுப்பு நடவடிக்கைகளில் முதலீடு செய்யும் நிறுவனங்கள் தங்கள் வாடிக்கையாளர்களின் பாதுகாப்பை உறுதிசெய்து, அவர்களின் சந்தை நிலையை வலுப்படுத்துகின்றன. புதிய வழிகாட்டுதல்களை செயல்படுத்துவது, எல்லாவற்றிற்கும் மேலாக, பாதுகாப்பான மற்றும் நம்பகமான கட்டணச் சூழலை உருவாக்குவதற்கான ஒரு அத்தியாவசிய படியாகும்," என்று அவர் முடிக்கிறார்.
