Цифрова безпека щойно отримала нові правила, і компанії, які обробляють дані карток, повинні адаптуватися. З появою версії 4.0 Стандарту безпеки даних індустрії платіжних карток (PCI DSS), встановленого Радою зі стандартів безпеки PCI (PCI SSC), зміни є значними та безпосередньо впливають на захист даних клієнтів та на те, як платіжні дані зберігаються, обробляються та передаються. Але що насправді змінюється?
Головна зміна полягає в потребі ще вищого рівня цифрової безпеки. Компаніям доведеться інвестувати в передові технології, такі як надійне шифрування та багатофакторна автентифікація. Цей метод вимагає щонайменше двох факторів перевірки для підтвердження особи користувача перед наданням доступу до систем, програм або транзакцій, що ускладнює злом, навіть якщо злочинці отримують доступ до паролів або персональних даних.
Серед використаних факторів автентифікації є:
- Щось, що знає користувач : паролі, PIN-коди або відповіді на контрольні запитання.
- Щось, що є у користувача : фізичні токени, SMS з кодами підтвердження, програми для автентифікації (наприклад, Google Authenticator) або цифрові сертифікати.
- Щось, чим є користувач : цифрова біометрична інформація, розпізнавання обличчя, голосу або райдужної оболонки оболонки.
«Ці рівні захисту значно ускладнюють несанкціонований доступ і забезпечують кращий захист конфіденційних даних», – пояснює він.
«Коротше кажучи, нам потрібно посилити захист даних клієнтів, впровадивши додаткові заходи для запобігання несанкціонованому доступу», – пояснює Вагнер Еліас, генеральний директор Conviso, розробника рішень для безпеки додатків. «Йдеться вже не про «адаптацію, коли це необхідно», а про превентивні дії», – наголошує він.
Згідно з новими правилами, впровадження відбувається у два етапи: перший, з 13 новими вимогами, мав кінцевий термін виконання у березні 2024 року. Другий, більш вимогливий етап, включає 51 додаткову вимогу та має бути виконаний до 31 березня 2025 року. Іншими словами, ті, хто не підготується, можуть зіткнутися з суворими покараннями.
Для адаптації до нових вимог деякі ключові дії включають: впровадження брандмауерів та надійних систем захисту; використання шифрування під час передачі та зберігання даних; постійний моніторинг та відстеження підозрілого доступу та активності; постійне тестування процесів та систем для виявлення вразливостей; а також створення та підтримка суворої політики інформаційної безпеки.
Вагнер наголошує, що на практиці це означає, що будь-яка компанія, яка обробляє карткові платежі, повинна буде переглянути всю свою структуру цифрової безпеки. Це включає оновлення систем, посилення внутрішньої політики та навчання команд для мінімізації ризиків. «Наприклад, компанія електронної комерції повинна буде забезпечити наскрізне шифрування даних клієнтів і те, що лише авторизовані користувачі мають доступ до конфіденційної інформації. З іншого боку, роздрібна мережа повинна буде впровадити механізми для постійного моніторингу можливих спроб шахрайства та витоків даних», – пояснює він.
Банкам та фінтех-компаніям також потрібно буде посилити свої механізми автентифікації, розширюючи використання таких технологій, як біометрія та багатофакторна автентифікація. «Мета полягає в тому, щоб зробити транзакції безпечнішими без шкоди для клієнтського досвіду. Це вимагає балансу між захистом та зручністю використання, що фінансовий сектор удосконалює останніми роками», – наголошує він.
Але чому ця зміна така важлива? Не буде перебільшенням сказати, що цифрове шахрайство стає дедалі складнішим. Витік даних може призвести до збитків на мільйони доларів та непоправної шкоди довірі клієнтів.
Вагнер Еліас попереджає: «Багато компаній досі застосовують реактивний підхід, турбуючись про безпеку лише після того, як сталася атака. Така поведінка викликає занепокоєння, оскільки порушення безпеки можуть призвести до значних фінансових втрат та непоправної шкоди репутації організації, чого можна було б уникнути за допомогою превентивних заходів».
Він також наголошує, що для уникнення цих ризиків ключовим є впровадження практик безпеки додатків з самого початку розробки нового додатку, гарантуючи, що кожен етап циклу розробки програмного забезпечення вже має захисні заходи. Це гарантує, що захисні заходи впроваджуються на всіх етапах життєвого циклу програмного забезпечення, що набагато економічно ефективніше, ніж усунення наслідків інциденту.
Варто зазначити, що це зростаюча тенденція в усьому світі. За даними Mordor Intelligence, ринок безпеки додатків, який у 2024 році оцінювався в 11,62 мільярда доларів, до 2029 року, як очікується, досягне 25,92 мільярда доларів.
Вагнер пояснює, що такі рішення, як DevOps, дозволяють розробляти кожен рядок коду з використанням безпечних практик, а також пропонують такі послуги, як тестування на проникнення та зменшення вразливостей. «Проведення постійного аналізу безпеки та автоматизації тестування дозволяє компаніям дотримуватися правил без шкоди для ефективності», – наголошує він.
Крім того, у цьому процесі важливими є спеціалізовані консалтингові послуги, які допомагають компаніям адаптуватися до нових вимог PCI DSS 4.0. «Серед найбільш затребуваних послуг – тестування на проникнення, Red Team та сторонні оцінки безпеки, які допомагають виявляти та виправляти вразливості, перш ніж ними зможуть скористатися злочинці», – пояснює він.
Зі зростанням складності цифрового шахрайства ігнорування безпеки даних більше не є варіантом. «Компанії, які інвестують у превентивні заходи, забезпечують захист своїх клієнтів та зміцнюють свої позиції на ринку. Впровадження нових рекомендацій є, перш за все, важливим кроком до створення безпечнішого та надійнішого платіжного середовища», – підсумовує він.
