Nakakuha lang ng mga bagong panuntunan ang digital security, at kailangang umangkop ang mga kumpanyang nagpoproseso ng data ng card. Sa pagdating ng bersyon 4.0 ng Payment Card Industry Data Security Standard (PCI DSS), na itinatag ng PCI Security Standards Council (PCI SSC), ang mga pagbabago ay makabuluhan at direktang nakakaapekto sa proteksyon ng data ng customer at kung paano iniimbak, pinoproseso, at ipinapadala ang data ng pagbabayad. Ngunit ano nga ba ang nagbabago?
Ang pangunahing pagbabago ay ang pangangailangan para sa mas mataas na antas ng digital na seguridad. Ang mga kumpanya ay kailangang mamuhunan sa mga advanced na teknolohiya tulad ng matatag na pag-encrypt at multi-factor na pagpapatotoo. Ang pamamaraang ito ay nangangailangan ng hindi bababa sa dalawang salik sa pag-verify upang kumpirmahin ang pagkakakilanlan ng isang user bago magbigay ng access sa mga system, application, o transaksyon, na ginagawang mas mahirap ang pag-hack, kahit na ang mga kriminal ay nakakuha ng access sa mga password o personal na data.
Kabilang sa mga salik sa pagpapatunay na ginamit ay:
- Isang bagay na alam ng user : mga password, PIN, o sagot sa mga tanong sa seguridad.
- Isang bagay na mayroon ang user : mga pisikal na token, SMS na may mga verification code, app ng authenticator (tulad ng Google Authenticator), o mga digital na certificate.
- Isang bagay ang gumagamit ay : digital, facial, voice o iris recognition biometrics.
"Ang mga layer ng proteksyon na ito ay ginagawang mas mahirap ang hindi awtorisadong pag-access at tinitiyak ang higit na seguridad para sa sensitibong data," paliwanag niya.
"Sa madaling salita, kailangan nating palakasin ang proteksyon ng data ng customer sa pamamagitan ng pagpapatupad ng mga karagdagang hakbang upang maiwasan ang hindi awtorisadong pag-access," paliwanag ni Wagner Elias, CEO ng Conviso, isang developer ng mga solusyon sa seguridad ng application. "Hindi na isang bagay na 'pag-aangkop kapag kinakailangan,' ngunit kumilos nang preventive," he emphasizes.
Sa ilalim ng mga bagong panuntunan, ang pagpapatupad ay nagaganap sa dalawang yugto: ang una, na may 13 bagong kinakailangan, ay nagkaroon ng deadline ng Marso 2024. Ang pangalawa, mas hinihingi na yugto, ay may kasamang 51 karagdagang kinakailangan at dapat matugunan bago ang Marso 31, 2025. Sa madaling salita, ang mga hindi maghanda ay maaaring maharap sa matinding parusa.
Upang umangkop sa mga bagong kinakailangan, ang ilan sa mga pangunahing aksyon ay kinabibilangan ng: pagpapatupad ng mga firewall at matatag na sistema ng proteksyon; paggamit ng encryption sa paghahatid at imbakan ng data; patuloy na pagsubaybay at pagsubaybay sa kahina-hinalang pag-access at aktibidad; patuloy na sumusubok sa mga proseso at sistema upang matukoy ang mga kahinaan; at paglikha at pagpapanatili ng mahigpit na patakaran sa seguridad ng impormasyon.
Binibigyang-diin ni Wagner na, sa pagsasagawa, nangangahulugan ito na ang anumang kumpanya na humahawak ng mga pagbabayad sa card ay kailangang suriin ang buong istraktura ng digital na seguridad nito. Kabilang dito ang pag-update ng mga system, pagpapalakas ng mga panloob na patakaran, at mga pangkat ng pagsasanay upang mabawasan ang mga panganib. "Halimbawa, kakailanganin ng isang kumpanya ng e-commerce na tiyakin na ang data ng customer ay end-to-end na naka-encrypt at ang mga awtorisadong user lamang ang may access sa sensitibong impormasyon. Ang isang retail chain, sa kabilang banda, ay kailangang magpatupad ng mga mekanismo upang patuloy na masubaybayan ang mga posibleng pagtatangka ng pandaraya at pagtagas ng data," paliwanag niya.
Kakailanganin din ng mga bangko at fintech na palakasin ang kanilang mga mekanismo sa pagpapatotoo, palawakin ang paggamit ng mga teknolohiya tulad ng biometrics at multi-factor na pagpapatotoo. "Ang layunin ay gawing mas secure ang mga transaksyon nang hindi nakompromiso ang karanasan ng customer. Nangangailangan ito ng balanse sa pagitan ng proteksyon at kakayahang magamit, isang bagay na pinagbubuti ng sektor ng pananalapi sa mga nakaraang taon," binibigyang-diin niya.
Ngunit bakit napakahalaga ng pagbabagong ito? Hindi pagmamalabis na sabihin na ang digital fraud ay nagiging mas sopistikado. Ang mga paglabag sa data ay maaaring magresulta sa milyun-milyong dolyar na pagkalugi at hindi na maibabalik na pinsala sa tiwala ng customer.
Nagbabala si Wagner Elias: "Maraming kumpanya pa rin ang gumagamit ng reaktibong diskarte, nababahala lamang tungkol sa seguridad pagkatapos mangyari ang isang pag-atake. Ang pag-uugali na ito ay nakakabahala, dahil ang mga paglabag sa seguridad ay maaaring humantong sa malaking pagkalugi sa pananalapi at hindi na mapananauli na pinsala sa reputasyon ng organisasyon, na maaaring iwasan sa pamamagitan ng mga hakbang sa pag-iwas."
Binigyang-diin pa niya na upang maiwasan ang mga panganib na ito, ang susi ay ang magpatibay ng mga gawi sa Application Security mula sa simula ng pag-develop ng bagong application, na tinitiyak na ang bawat yugto ng ikot ng pagbuo ng software ay mayroon nang mga proteksiyon na hakbang. Tinitiyak nito na ang mga hakbang sa pagprotekta ay ipinapatupad sa lahat ng mga yugto ng lifecycle ng software, na mas matipid kaysa sa pag-aayos ng pinsala pagkatapos ng isang insidente."
Ito ay nagkakahalaga ng noting na ito ay isang lumalagong trend sa buong mundo. Ang merkado ng seguridad ng aplikasyon, na nagkakahalaga ng $11.62 bilyon noong 2024, ay inaasahang aabot sa $25.92 bilyon sa 2029, ayon sa Mordor Intelligence.
Ipinaliwanag ni Wagner na ang mga solusyon tulad ng DevOps ay nagbibigay-daan sa bawat linya ng code na mabuo gamit ang mga secure na kasanayan, bilang karagdagan sa mga serbisyo tulad ng pagsubok sa pagtagos at pagpapagaan ng kahinaan. "Ang pagsasagawa ng tuluy-tuloy na pagsusuri sa seguridad at pag-aautomat ng pagsubok ay nagpapahintulot sa mga kumpanya na sumunod sa mga regulasyon nang hindi nakompromiso ang kahusayan," binibigyang-diin niya.
Higit pa rito, ang mga espesyal na serbisyo sa pagkonsulta ay mahalaga sa prosesong ito, na tumutulong sa mga kumpanya na umangkop sa mga bagong kinakailangan sa PCI DSS 4.0. "Kabilang sa mga pinakahinahangad na serbisyo ay ang Penetration Testing, Red Team, at third-party na mga pagtatasa ng seguridad, na tumutulong sa pagtukoy at pagwawasto ng mga kahinaan bago sila mapagsamantalahan ng mga kriminal," paliwanag niya.
Sa lalong nagiging sopistikado ang digital fraud, hindi na isang opsyon ang pagbalewala sa seguridad ng data. "Ang mga kumpanyang namumuhunan sa mga hakbang sa pag-iwas ay tinitiyak ang proteksyon ng kanilang mga customer at palakasin ang kanilang posisyon sa merkado. Ang pagpapatupad ng mga bagong alituntunin ay, higit sa lahat, isang mahalagang hakbang patungo sa pagbuo ng isang mas ligtas at mas maaasahang kapaligiran sa pagbabayad," pagtatapos niya.
