PCI посилює вимоги, і електронній комерції потрібен вищий рівень безпеки

Цифрова безпека тільки що отримала нові правила і компанії, які обробляють дані картки, повинні адаптуватися З появою версії 4.0 стандарту безпеки даних індустрії платіжних карток (PCI DSS), встановленого Радою зі стандартів безпеки PCI (PCI SSC), зміни важливі і безпосередньо впливають на захист даних клієнтів і на те, як платіжні дані зберігаються, обробляються і передаються Але, зрештою, що насправді змінюється?

Основна зміна полягає в необхідності ще більш високого рівня цифрової безпек Підприємствам доведеться інвестувати в передові технології, такі як надійне шифрування та багатофакторна автентифікаці ей метод вимагає принаймні двох факторів перевірки для підтвердження особи користувача перед наданням доступу до систем, додатків або транзакцій, що ускладнює зловмисникам хакерство, навіть якщо злочинці мають доступ до паролів або персональних даних.

Серед використовуваних факторів аутентифікації є

• Щось користувач знає: паролі, PIN-коди або відповіді на питання безпеки.
• Щось у користувача є: фізичні токени, SMS з кодами перевірки, автентифікація додатків (наприклад, Google Authenticator) або цифрові сертифікати.
• Щось користувач: цифрова, біометрія обличчя, розпізнавання голосу або райдужної оболонки.

“Ці рівні захисту значно ускладнюють несанкціонований доступ і забезпечують більшу безпеку SENT-даних, пояснює він.

“Коротко кажучи, нам потрібно посилити захист даних клієнтів, впровадивши додаткові заходи для запобігання несанкціонованому доступу”, пояснює Вагнер Еліас, генеральний директор Conviso, розробник рішення для безпеки прикладних програ “Це вже не питання адаптації “, коли це необхідно для ”, а діяти превентивно, - зазначає він.

Згідно з новими правилами, реалізація відбувається у два етапи: перший, з 13 новими вимогами, мав термін у березні 2024 Вже другий етап, більш вимогливий, включає 51 додаткову вимогу і має бути виконаний до 31 березня 2025 Тобто тим, хто не підготувався, можуть загрожувати суворі покарання.

Для відповідності новим вимогам деякі з основних дій включають: реалізувати Firewalls надійні системи захисту; використовувати шифрування при передачі та зберіганні даних; постійно відстежувати та відстежувати підозрілий доступ та активність; постійно тестувати процеси та системи для виявлення вразливостей; створювати та підтримувати сувору політику інформаційної безпеки.

Вагнер зазначає, що на практиці це означає, що будь-якій компанії, яка обробляє платежі картками, потрібно буде переглянути всю свою структуру цифрової безпек Це передбачає оновлення систем, дотримання внутрішньої політики та навчання команд для мінімізації ризикі “Наприклад, електронна комерція повинна буде забезпечити, щоб дані клієнтів були зашифровані наскрізно і щоб лише авторизовані користувачі мали доступ до конфіденційної інформаці і без того роздрібна мережа повинна буде впроваджувати механізми для постійного моніторингу можливих спроб шахрайства та витоків даних, - наводить він приклад.

Банкам і фінтех також потрібно буде посилити свої механізми аутентифікації, розширюючи використання таких технологій, як біометрія і багатофакторна аутентифікаці “O прагне зробити транзакції більш безпечними без шкоди для клієнтського досвід his вимагає балансу між захистом і зручністю використання, те, що фінансовий сектор вже вдосконалювався в останні роки”, - зазначає він.

Але чому ця зміна така важлива?Не буде перебільшенням сказати, що цифрове шахрайство стає все більш витонченим Витоки даних можуть призвести до збитків мільйонерів і непоправної шкоди довірі клієнтів. 

Вагнер Еліас попереджає: “багато компаній все ще приймають реактивну позицію, турбуючись про безпеку лише після нападу Така поведінка викликає занепокоєння, оскільки збої в безпеці можуть спричинити значні фінансові втрати та непоправну шкоду репутації організації, чого можна було б уникнути за допомогою превентивних заходів”.

Він також зазначає, що для уникнення цих ризиків велика різниця полягає у прийнятті практик безпеки додатків (Application Security) з початку розробки нового додатка, гарантуючи, що кожна фаза циклу розробки програмного забезпечення вже має заходи захисту Це забезпечує вставлення заходів захисту на всіх етапах життєвого циклу програмного забезпечення, будучи набагато економнішим, ніж усунення пошкоджень після інциденту з an”.

За даними Mordor Intelligence, ринок безпеки додатків, який перемістить US$ на 11, 62 мільярда в 2024 році, очікується, що до 2029 року досягне US$ на 25, 92 мільярда.

Вагнер пояснює, що такі рішення, як DevOps, дозволяють розробляти кожен рядок коду з методами захисту, а також такими послугами, як тестування на проникнення та пом'якшення вразливост “ Аналіз ефективності безпеки та автоматизації тестування дозволяє компаніям відповідати стандартам без шкоди для ефективності роботи з підступами.

Крім того, в цьому процесі важливий спеціалізований консалтинг, що допомагає компаніям адаптуватися до нових вимог PCI DSS 4.0.“Серед найбільш затребуваних послуг - Penetration Testing, Red Team і сторонні оцінки безпеки, які допомагають виявити і виправити уразливості, перш ніж їх зможуть експлуатувати зловмисники ”, - говорить він.

Оскільки цифрове шахрайство стає все більш витонченим, ігнорування безпеки даних більше не є варіант “Компанії, які інвестують у превентивні заходи, забезпечують захист своїх клієнтів і зміцнюють свої позиції на ринк Реалізація нових рекомендацій є, перш за все, важливим кроком для побудови безпечнішого та надійнішого платіжного середовища”, підсумовує він.