డిజిటల్ భద్రతకు ఇప్పుడే కొత్త నియమాలు వచ్చాయి మరియు కార్డ్ డేటాను ప్రాసెస్ చేసే కంపెనీలు వాటిని స్వీకరించాల్సిన అవసరం ఉంది. PCI సెక్యూరిటీ స్టాండర్డ్స్ కౌన్సిల్ (PCI SSC) స్థాపించిన పేమెంట్ కార్డ్ ఇండస్ట్రీ డేటా సెక్యూరిటీ స్టాండర్డ్ (PCI DSS) యొక్క వెర్షన్ 4.0 రాకతో, మార్పులు ముఖ్యమైనవి మరియు కస్టమర్ డేటా రక్షణను మరియు చెల్లింపు డేటా ఎలా నిల్వ చేయబడుతుంది, ప్రాసెస్ చేయబడుతుంది మరియు ప్రసారం చేయబడుతుంది అనే దానిపై ప్రత్యక్ష ప్రభావాన్ని చూపుతాయి. కానీ నిజంగా ఏమి మారుతుంది?
ప్రధాన మార్పు ఏమిటంటే ఇంకా ఎక్కువ స్థాయి డిజిటల్ భద్రత అవసరం. కంపెనీలు బలమైన ఎన్క్రిప్షన్ మరియు బహుళ-కారకాల ప్రామాణీకరణ వంటి అధునాతన సాంకేతిక పరిజ్ఞానాలలో పెట్టుబడి పెట్టాలి. ఈ పద్ధతికి సిస్టమ్లు, అప్లికేషన్లు లేదా లావాదేవీలకు యాక్సెస్ మంజూరు చేసే ముందు వినియోగదారు గుర్తింపును నిర్ధారించడానికి కనీసం రెండు ధృవీకరణ కారకాలు అవసరం, నేరస్థులు పాస్వర్డ్లు లేదా వ్యక్తిగత డేటాకు యాక్సెస్ పొందినప్పటికీ, హ్యాకింగ్ను మరింత కష్టతరం చేస్తుంది.
ఉపయోగించిన ప్రామాణీకరణ కారకాలలో:
- వినియోగదారుకు తెలిసినది : పాస్వర్డ్లు, పిన్లు లేదా భద్రతా ప్రశ్నలకు సమాధానాలు.
- వినియోగదారు వద్ద ఉన్నవి : భౌతిక టోకెన్లు, ధృవీకరణ కోడ్లతో కూడిన SMS, ప్రామాణీకరణ యాప్లు (Google ప్రామాణీకరణదారు వంటివి) లేదా డిజిటల్ సర్టిఫికెట్లు.
- వినియోగదారుడు ఏదో ఒక విధంగా ఉంటాడు : డిజిటల్, ముఖ, వాయిస్ లేదా ఐరిస్ గుర్తింపు బయోమెట్రిక్స్.
"ఈ రక్షణ పొరలు అనధికార ప్రాప్యతను మరింత కష్టతరం చేస్తాయి మరియు సున్నితమైన డేటాకు ఎక్కువ భద్రతను నిర్ధారిస్తాయి" అని ఆయన వివరించారు.
"సంక్షిప్తంగా చెప్పాలంటే, అనధికార ప్రాప్యతను నిరోధించడానికి అదనపు చర్యలను అమలు చేయడం ద్వారా కస్టమర్ డేటా రక్షణను బలోపేతం చేయాలి" అని అప్లికేషన్ భద్రతా పరిష్కారాల డెవలపర్ అయిన కాన్విసో యొక్క CEO వాగ్నర్ ఎలియాస్ వివరించారు. "ఇది ఇకపై 'అవసరమైనప్పుడు స్వీకరించడం' కాదు, నివారణగా వ్యవహరించడం" అని ఆయన నొక్కి చెప్పారు.
కొత్త నిబంధనల ప్రకారం, అమలు రెండు దశల్లో జరుగుతుంది: మొదటిది, 13 కొత్త అవసరాలతో, మార్చి 2024 వరకు గడువు ఉంది. రెండవది, మరింత కఠినమైన దశలో, 51 అదనపు అవసరాలు ఉన్నాయి మరియు మార్చి 31, 2025 నాటికి తీర్చాలి. మరో మాటలో చెప్పాలంటే, సిద్ధం కావడంలో విఫలమైన వారు తీవ్రమైన జరిమానాలను ఎదుర్కోవలసి ఉంటుంది.
కొత్త అవసరాలకు అనుగుణంగా, కొన్ని ముఖ్యమైన చర్యలు: ఫైర్వాల్లు మరియు బలమైన రక్షణ వ్యవస్థలను అమలు చేయడం; డేటా ట్రాన్స్మిషన్ మరియు నిల్వలో ఎన్క్రిప్షన్ను ఉపయోగించడం; అనుమానాస్పద యాక్సెస్ మరియు కార్యాచరణను నిరంతరం పర్యవేక్షించడం మరియు ట్రాక్ చేయడం; దుర్బలత్వాలను గుర్తించడానికి ప్రక్రియలు మరియు వ్యవస్థలను నిరంతరం పరీక్షించడం; మరియు కఠినమైన సమాచార భద్రతా విధానాన్ని సృష్టించడం మరియు నిర్వహించడం.
ఆచరణలో, దీని అర్థం కార్డ్ చెల్లింపులను నిర్వహించే ఏ కంపెనీ అయినా దాని మొత్తం డిజిటల్ భద్రతా నిర్మాణాన్ని సమీక్షించాల్సి ఉంటుందని వాగ్నర్ నొక్కిచెప్పారు. ఇందులో వ్యవస్థలను నవీకరించడం, అంతర్గత విధానాలను బలోపేతం చేయడం మరియు ప్రమాదాలను తగ్గించడానికి బృందాలకు శిక్షణ ఇవ్వడం ఉంటాయి. "ఉదాహరణకు, ఒక ఇ-కామర్స్ కంపెనీ కస్టమర్ డేటా ఎండ్-టు-ఎండ్ ఎన్క్రిప్ట్ చేయబడిందని మరియు అధికారం కలిగిన వినియోగదారులకు మాత్రమే సున్నితమైన సమాచారానికి ప్రాప్యత ఉందని నిర్ధారించుకోవాలి. మరోవైపు, రిటైల్ చైన్ మోసపూరిత ప్రయత్నాలు మరియు డేటా లీక్ల కోసం నిరంతరం పర్యవేక్షించడానికి యంత్రాంగాలను అమలు చేయాల్సి ఉంటుంది" అని ఆయన వివరించారు.
బ్యాంకులు మరియు ఫిన్టెక్లు కూడా తమ ప్రామాణీకరణ విధానాలను బలోపేతం చేసుకోవాలి, బయోమెట్రిక్స్ మరియు బహుళ-కారకాల ప్రామాణీకరణ వంటి సాంకేతిక పరిజ్ఞానాల వినియోగాన్ని విస్తరించాలి. "కస్టమర్ అనుభవాన్ని రాజీ పడకుండా లావాదేవీలను మరింత సురక్షితంగా చేయడమే లక్ష్యం. దీనికి రక్షణ మరియు వినియోగం మధ్య సమతుల్యత అవసరం, ఇటీవలి సంవత్సరాలలో ఆర్థిక రంగం మెరుగుపడుతోంది" అని ఆయన నొక్కి చెప్పారు.
కానీ ఈ మార్పు ఎందుకు అంత ముఖ్యమైనది? డిజిటల్ మోసం మరింత అధునాతనంగా మారుతోందని చెప్పడంలో అతిశయోక్తి లేదు. డేటా ఉల్లంఘనలు మిలియన్ల డాలర్ల నష్టాలకు దారితీస్తాయి మరియు కస్టమర్ నమ్మకానికి కోలుకోలేని నష్టాన్ని కలిగిస్తాయి.
"చాలా కంపెనీలు ఇప్పటికీ రియాక్టివ్ విధానాన్ని అవలంబిస్తాయి, దాడి జరిగిన తర్వాత భద్రత గురించి మాత్రమే ఆందోళన చెందుతాయి. ఈ ప్రవర్తన ఆందోళన కలిగిస్తుంది, ఎందుకంటే భద్రతా ఉల్లంఘనలు గణనీయమైన ఆర్థిక నష్టాలకు మరియు సంస్థ ప్రతిష్టకు కోలుకోలేని నష్టానికి దారితీయవచ్చు, దీనిని నివారణ చర్యలతో నివారించవచ్చు" అని వాగ్నర్ ఎలియాస్ హెచ్చరిస్తున్నారు.
ఈ ప్రమాదాలను నివారించడానికి, కొత్త అప్లికేషన్ అభివృద్ధి ప్రారంభం నుండే అప్లికేషన్ భద్రతా పద్ధతులను అవలంబించడం ముఖ్యమని, సాఫ్ట్వేర్ అభివృద్ధి చక్రంలోని ప్రతి దశలో ఇప్పటికే రక్షణ చర్యలు ఉన్నాయని నిర్ధారించుకోవడం ముఖ్యమని ఆయన నొక్కి చెప్పారు. ఇది సాఫ్ట్వేర్ జీవితచక్రంలోని అన్ని దశలలో రక్షణ చర్యలు అమలు చేయబడతాయని నిర్ధారిస్తుంది, ఇది ఒక సంఘటన తర్వాత నష్టాన్ని సరిదిద్దడం కంటే చాలా ఖర్చుతో కూడుకున్నది."
ఇది ప్రపంచవ్యాప్తంగా పెరుగుతున్న ట్రెండ్ అని గమనించాలి. 2024లో $11.62 బిలియన్లుగా ఉన్న అప్లికేషన్ సెక్యూరిటీ మార్కెట్ 2029 నాటికి $25.92 బిలియన్లకు చేరుకుంటుందని మోర్డోర్ ఇంటెలిజెన్స్ అంచనా వేసింది.
DevOps వంటి పరిష్కారాలు, వ్యాప్తి పరీక్ష మరియు దుర్బలత్వ తగ్గింపు వంటి సేవలతో పాటు, ప్రతి కోడ్ లైన్ను సురక్షిత పద్ధతులతో అభివృద్ధి చేయడానికి అనుమతిస్తాయని వాగ్నర్ వివరిస్తున్నారు. "నిరంతర భద్రతా విశ్లేషణ మరియు పరీక్ష ఆటోమేషన్ నిర్వహించడం వల్ల కంపెనీలు సామర్థ్యంలో రాజీ పడకుండా నిబంధనలను పాటించగలవు" అని ఆయన నొక్కి చెప్పారు.
ఇంకా, ఈ ప్రక్రియలో ప్రత్యేకమైన కన్సల్టింగ్ సేవలు ముఖ్యమైనవి, ఇవి కంపెనీలు కొత్త PCI DSS 4.0 అవసరాలకు అనుగుణంగా మారడానికి సహాయపడతాయి. "అత్యంత డిమాండ్ ఉన్న సేవలలో పెనెట్రేషన్ టెస్టింగ్, రెడ్ టీమ్ మరియు థర్డ్-పార్టీ సెక్యూరిటీ అసెస్మెంట్లు ఉన్నాయి, ఇవి నేరస్థులు దోపిడీకి గురికాకముందే దుర్బలత్వాలను గుర్తించి సరిదిద్దడంలో సహాయపడతాయి" అని ఆయన వివరించారు.
డిజిటల్ మోసం మరింత అధునాతనంగా మారుతున్నందున, డేటా భద్రతను విస్మరించడం ఇకపై ఒక ఎంపిక కాదు. "నివారణ చర్యలలో పెట్టుబడి పెట్టే కంపెనీలు తమ కస్టమర్ల రక్షణను నిర్ధారిస్తాయి మరియు వారి మార్కెట్ స్థానాన్ని బలోపేతం చేస్తాయి. కొత్త మార్గదర్శకాలను అమలు చేయడం అన్నింటికంటే మించి, సురక్షితమైన మరియు మరింత నమ్మదగిన చెల్లింపుల వాతావరణాన్ని నిర్మించడానికి ఒక ముఖ్యమైన అడుగు" అని ఆయన ముగించారు.
