ڈیجیٹل سیکیورٹی نے ابھی نئے اصول حاصل کیے ہیں، اور کارڈ ڈیٹا پر کارروائی کرنے والی کمپنیوں کو اپنانے کی ضرورت ہے۔ ادائیگی کارڈ انڈسٹری ڈیٹا سیکیورٹی اسٹینڈرڈ (PCI DSS) کے ورژن 4.0 کی آمد کے ساتھ، جو کہ PCI سیکیورٹی اسٹینڈرڈز کونسل (PCI SSC) کے ذریعے قائم کیا گیا ہے، یہ تبدیلیاں اہم ہیں اور صارفین کے ڈیٹا کے تحفظ اور ادائیگی کے ڈیٹا کو ذخیرہ کرنے، پروسیس کرنے اور منتقل کرنے کے طریقہ پر براہ راست اثر انداز ہوتی ہیں۔ لیکن واقعی کیا بدلتا ہے؟
اہم تبدیلی ڈیجیٹل سیکورٹی کے اس سے بھی زیادہ سطح کی ضرورت ہے۔ کمپنیوں کو مضبوط انکرپشن اور ملٹی فیکٹر تصدیق جیسی جدید ٹیکنالوجیز میں سرمایہ کاری کرنا ہوگی۔ سسٹم، ایپلیکیشنز یا لین دین تک رسائی دینے سے پہلے صارف کی شناخت کی تصدیق کے لیے اس طریقہ کار میں کم از کم دو تصدیقی عوامل کی ضرورت ہوتی ہے، جو ہیکنگ کو مزید مشکل بنا دیتا ہے، چاہے مجرموں کو پاس ورڈز یا ذاتی ڈیٹا تک رسائی حاصل ہو۔
استعمال ہونے والے تصدیقی عوامل میں شامل ہیں:
- صارف کچھ جانتا ہے : پاس ورڈز، پن، یا سیکیورٹی سوالات کے جوابات۔
- صارف کے پاس کچھ ہے : فزیکل ٹوکنز، تصدیقی کوڈز کے ساتھ SMS، تصدیق کنندہ ایپس (جیسے Google Authenticator)، یا ڈیجیٹل سرٹیفکیٹس۔
- صارف کچھ ہے : ڈیجیٹل، چہرے، آواز یا ایرس ریکگنیشن بائیو میٹرکس۔
"تحفظ کی یہ پرتیں غیر مجاز رسائی کو زیادہ مشکل بناتی ہیں اور حساس ڈیٹا کے لیے زیادہ حفاظت کو یقینی بناتی ہیں،" وہ بتاتے ہیں۔
"مختصر طور پر، ہمیں غیر مجاز رسائی کو روکنے کے لیے اضافی اقدامات پر عمل درآمد کرتے ہوئے کسٹمر ڈیٹا کے تحفظ کو مضبوط کرنے کی ضرورت ہے،" واگنر الیاس، کونویزو کے سی ای او، ایپلی کیشن سیکیورٹی سلوشنز کے ایک ڈویلپر کی وضاحت کرتے ہیں۔ "اب یہ 'ضرورت پڑنے پر ڈھالنے' کا معاملہ نہیں ہے، بلکہ احتیاطی طور پر کام کرنا ہے،" وہ زور دیتا ہے۔
نئے قوانین کے تحت، عمل درآمد دو مرحلوں میں ہوتا ہے: پہلے، 13 نئی ضروریات کے ساتھ، مارچ 2024 کی آخری تاریخ تھی۔ دوسرے، زیادہ متقاضی مرحلے میں، 51 اضافی تقاضے شامل ہیں اور انہیں 31 مارچ 2025 تک پورا کیا جانا چاہیے۔ دوسرے لفظوں میں، جو لوگ تیاری میں ناکام رہتے ہیں انہیں سخت سزاؤں کا سامنا کرنا پڑ سکتا ہے۔
نئی ضروریات کے مطابق ڈھالنے کے لیے، کچھ اہم اقدامات میں شامل ہیں: فائر وال اور مضبوط تحفظ کے نظام کو نافذ کرنا؛ ڈیٹا ٹرانسمیشن اور اسٹوریج میں خفیہ کاری کا استعمال کرتے ہوئے؛ مشکوک رسائی اور سرگرمی کی مسلسل نگرانی اور سراغ لگانا؛ کمزوریوں کی نشاندہی کرنے کے لیے عمل اور نظام کی مسلسل جانچ کرنا؛ اور معلومات کی حفاظت کی سخت پالیسی بنانا اور برقرار رکھنا۔
ویگنر اس بات پر زور دیتے ہیں کہ عملی طور پر، اس کا مطلب یہ ہے کہ کوئی بھی کمپنی جو کارڈ کی ادائیگیوں کو سنبھالتی ہے اسے اپنے پورے ڈیجیٹل سیکیورٹی ڈھانچے کا جائزہ لینے کی ضرورت ہوگی۔ اس میں نظام کو اپ ڈیٹ کرنا، اندرونی پالیسیوں کو مضبوط کرنا، اور خطرات کو کم کرنے کے لیے ٹیموں کو تربیت دینا شامل ہے۔ "مثال کے طور پر، ایک ای کامرس کمپنی کو اس بات کو یقینی بنانے کی ضرورت ہوگی کہ صارف کا ڈیٹا اینڈ ٹو اینڈ انکرپٹڈ ہے اور یہ کہ صرف مجاز صارفین کو ہی حساس معلومات تک رسائی حاصل ہے۔ دوسری طرف، ایک ریٹیل چین کو ممکنہ دھوکہ دہی کی کوششوں اور ڈیٹا لیکس کی مسلسل نگرانی کے لیے میکانزم کو نافذ کرنے کی ضرورت ہوگی،" وہ بتاتے ہیں۔
بینکوں اور فنٹیکس کو بھی اپنے تصدیقی طریقہ کار کو مضبوط کرنے کی ضرورت ہوگی، بائیو میٹرکس اور ملٹی فیکٹر توثیق جیسی ٹیکنالوجیز کے استعمال کو بڑھانا ہوگا۔ "مقصد گاہک کے تجربے سے سمجھوتہ کیے بغیر لین دین کو زیادہ محفوظ بنانا ہے۔ اس کے لیے تحفظ اور استعمال کے درمیان توازن کی ضرورت ہے، جس میں حالیہ برسوں میں مالیاتی شعبے میں بہتری آئی ہے۔"
لیکن یہ تبدیلی اتنی اہم کیوں ہے؟ یہ کہنا کوئی مبالغہ آرائی نہیں ہے کہ ڈیجیٹل فراڈ تیزی سے نفیس ہوتا جا رہا ہے۔ ڈیٹا کی خلاف ورزیوں کے نتیجے میں لاکھوں ڈالر کے نقصانات اور کسٹمر کے اعتماد کو ناقابل تلافی نقصان پہنچ سکتا ہے۔
ویگنر الیاس نے خبردار کیا: "بہت سی کمپنیاں اب بھی ایک رد عمل کا انداز اپناتی ہیں، صرف حملے کے بعد سیکورٹی کے بارے میں فکر مند ہوتی ہیں۔ یہ رویہ تشویشناک ہے، کیونکہ سیکورٹی کی خلاف ورزیوں سے تنظیم کی ساکھ کو اہم مالی نقصان اور ناقابل تلافی نقصان پہنچ سکتا ہے، جس سے بچاؤ کے اقدامات سے بچا جا سکتا ہے۔"
وہ اس بات پر مزید زور دیتے ہیں کہ ان خطرات سے بچنے کے لیے، کلید یہ ہے کہ نئی ایپلیکیشن کی ڈیولپمنٹ کے آغاز سے ہی ایپلی کیشن سیکیورٹی کے طریقوں کو اپنایا جائے، اس بات کو یقینی بنانا کہ سافٹ ویئر ڈویلپمنٹ سائیکل کے ہر مرحلے میں پہلے سے حفاظتی اقدامات موجود ہوں۔ یہ یقینی بناتا ہے کہ حفاظتی اقدامات سافٹ ویئر لائف سائیکل کے تمام مراحل پر لاگو ہوتے ہیں، جو کہ کسی واقعے کے بعد ہونے والے نقصان کا ازالہ کرنے سے کہیں زیادہ سرمایہ کاری مؤثر ہے۔"
یہ بات قابل غور ہے کہ یہ دنیا بھر میں بڑھتا ہوا رجحان ہے۔ مورڈور انٹیلی جنس کے مطابق، ایپلی کیشن سیکیورٹی مارکیٹ، جس کی قیمت 2024 میں 11.62 بلین ڈالر تھی، 2029 تک 25.92 بلین ڈالر تک پہنچنے کی امید ہے۔
ویگنر بتاتے ہیں کہ ڈی او اوپس جیسے حل کوڈ کی ہر سطر کو محفوظ طریقوں کے ساتھ تیار کرنے کی اجازت دیتے ہیں، اس کے علاوہ دخول کی جانچ اور کمزوری کو کم کرنے جیسی خدمات کے علاوہ۔ "مسلسل سیکیورٹی تجزیہ اور ٹیسٹ آٹومیشن کا انعقاد کمپنیوں کو کارکردگی پر سمجھوتہ کیے بغیر قواعد و ضوابط کی تعمیل کرنے کی اجازت دیتا ہے،" وہ زور دیتے ہیں۔
مزید برآں، اس عمل میں خصوصی مشاورتی خدمات اہم ہیں، جو کمپنیوں کو PCI DSS 4.0 کی نئی ضروریات کے مطابق ڈھالنے میں مدد کرتی ہیں۔ "سب سے زیادہ مطلوب خدمات میں دخول کی جانچ، ریڈ ٹیم، اور فریق ثالث کے حفاظتی جائزے شامل ہیں، جو مجرموں کے ذریعے ان کا استحصال کرنے سے پہلے کمزوریوں کی شناخت اور درست کرنے میں مدد کرتے ہیں،" وہ بتاتے ہیں۔
ڈیجیٹل فراڈ تیزی سے نفیس ہوتا جا رہا ہے، ڈیٹا سیکیورٹی کو نظر انداز کرنا اب کوئی آپشن نہیں ہے۔ "وہ کمپنیاں جو حفاظتی اقدامات میں سرمایہ کاری کرتی ہیں وہ اپنے صارفین کے تحفظ کو یقینی بناتی ہیں اور اپنی مارکیٹ کی پوزیشن کو مضبوط کرتی ہیں۔ نئی رہنما خطوط پر عمل درآمد سب سے بڑھ کر، ایک محفوظ اور زیادہ قابل اعتماد ادائیگی کے ماحول کی تعمیر کی جانب ایک ضروری قدم ہے،" وہ نتیجہ اخذ کرتے ہیں۔
