Thẻ tín dụng: Những thay đổi với các quy tắc bảo mật kỹ thuật số mới

Bảo mật kỹ thuật số vừa đạt được các quy tắc mới và các công ty xử lý dữ liệu thẻ cần phải thích ứng.Với sự xuất hiện của phiên bản 4.0 của Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS), được thành lập bởi Hội đồng tiêu chuẩn bảo mật PCI (PCI SSC), những thay đổi này rất quan trọng và tác động trực tiếp đến việc bảo vệ dữ liệu khách hàng và cách dữ liệu thanh toán được lưu trữ, xử lý và truyền đi.Nhưng, sau tất cả, những gì thực sự thay đổi?

Thay đổi chính là nhu cầu về mức độ bảo mật kỹ thuật số cao hơn nữa.Các doanh nghiệp sẽ phải đầu tư vào các công nghệ tiên tiến như mã hóa mạnh mẽ và xác thực đa yếu tố.Phương pháp này yêu cầu ít nhất hai yếu tố xác minh để xác nhận danh tính của người dùng trước khi cấp quyền truy cập vào hệ thống, ứng dụng hoặc giao dịch, khiến kẻ tấn công khó hack ngay cả khi tội phạm có quyền truy cập vào mật khẩu hoặc dữ liệu cá nhân.

Trong số các yếu tố xác thực được sử dụng là:

• Một cái gì đó người dùng biết: mật khẩu, mã PIN hoặc câu trả lời cho các câu hỏi bảo mật.
• Một cái gì đó người dùng có: mã thông báo vật lý, SMS có mã xác minh, xác thực ứng dụng (chẳng hạn như Google Authenticator) hoặc chứng chỉ kỹ thuật số.
• Một cái gì đó người dùng là: kỹ thuật số, sinh trắc học khuôn mặt, nhận dạng giọng nói hoặc mống mắt.

“Những lớp bảo vệ này khiến việc truy cập trái phép trở nên khó khăn hơn nhiều và đảm bảo an ninh cao hơn cho dữ liệu SENT, ông giải thích.

“Tóm lại, chúng ta cần tăng cường bảo vệ dữ liệu khách hàng bằng cách thực hiện các biện pháp bổ sung để ngăn chặn truy cập trái phép”, Wagner Elias, Giám đốc điều hành của Conviso, nhà phát triển giải pháp cho bảo mật ứng dụng giải thích. “Không còn là vấn đề của“se thích ứng khi cần thiết”, mà là hành động phòng ngừa”, ông chỉ ra.

Theo quy định mới, việc thực hiện diễn ra theo hai giai đoạn: giai đoạn thứ nhất, với 13 yêu cầu mới, có thời hạn vào tháng 3 năm 2024.Giai đoạn thứ hai, đòi hỏi khắt khe hơn, bao gồm 51 yêu cầu bổ sung và phải đáp ứng trước ngày 31 tháng 3 năm 2025. Tức là những người không chuẩn bị có thể phải đối mặt với hình phạt nghiêm khắc.

Để phù hợp với yêu cầu mới, một số hành động chính bao gồm: thực hiện 防火墙 hệ thống bảo vệ mạnh mẽ; sử dụng mã hóa trong truyền và lưu trữ dữ liệu; liên tục theo dõi và theo dõi hoạt động và truy cập đáng ngờ; liên tục kiểm tra các quy trình và hệ thống để xác định lỗ hổng; tạo và duy trì chính sách bảo mật thông tin nghiêm ngặt.

Wagner chỉ ra rằng trong thực tế, điều này có nghĩa là bất kỳ công ty nào xử lý thanh toán thẻ sẽ cần phải xem xét lại toàn bộ cấu trúc bảo mật kỹ thuật số của mình.Điều này liên quan đến việc cập nhật hệ thống, thực thi các chính sách nội bộ và các nhóm đào tạo để giảm thiểu rủi ro. “Ví dụ, một thương mại điện tử sẽ cần đảm bảo rằng dữ liệu khách hàng được mã hóa đầu cuối và chỉ những người dùng được ủy quyền mới có quyền truy cập vào thông tin nhạy cảm.Đã có một mạng lưới bán lẻ sẽ phải thực hiện các cơ chế để liên tục theo dõi các nỗ lực gian lận và rò rỉ dữ liệu có thể xảy ra”, ông minh họa.

Các ngân hàng và fintech cũng sẽ cần tăng cường cơ chế xác thực của họ, mở rộng việc sử dụng các công nghệ như sinh trắc học và xác thực đa yếu tố.“O nhằm mục đích làm cho các giao dịch an toàn hơn mà không ảnh hưởng đến trải nghiệm của khách hàng.Điều này đòi hỏi sự cân bằng giữa bảo vệ và khả năng sử dụng, điều mà lĩnh vực tài chính đã được cải thiện trong những năm gần đây”, ông chỉ ra.

Nhưng tại sao sự thay đổi này lại quan trọng đến vậy?Không quá lời khi nói rằng gian lận kỹ thuật số ngày càng tinh vi. vi phạm dữ liệu có thể dẫn đến tổn thất triệu phú và thiệt hại không thể khắc phục đối với niềm tin của khách hàng. 

Wagner Elias cảnh báo: “nhiều công ty vẫn áp dụng tư thế phản ứng, chỉ lo lắng về an ninh sau khi một cuộc tấn công xảy ra.Hành vi này đáng lo ngại, bởi vì các lỗi bảo mật có thể gây ra tổn thất tài chính đáng kể và thiệt hại không thể khắc phục đối với danh tiếng của tổ chức, có thể tránh được bằng các biện pháp phòng ngừa”.

Ông cũng chỉ ra rằng để tránh những rủi ro này, sự khác biệt lớn là áp dụng các thực tiễn Bảo mật ứng dụng (Application Security) ngay từ đầu phát triển ứng dụng mới, đảm bảo rằng mỗi giai đoạn của chu trình phát triển phần mềm đã có các biện pháp bảo vệ.Điều này đảm bảo việc chèn các biện pháp bảo vệ trong tất cả các giai đoạn của vòng đời phần mềm, tiết kiệm hơn nhiều so với việc khắc phục thiệt hại sau sự cố”.

Thị trường bảo mật ứng dụng, di chuyển US$ 11,62 tỷ vào năm 2024, dự kiến sẽ đạt US$ 25,92 tỷ vào năm 2029, theo Mordor Intelligence.

Wagner giải thích rằng các giải pháp như DevOps cho phép mỗi dòng mã được phát triển với các biện pháp bảo vệ, cũng như các dịch vụ như kiểm tra thâm nhập và giảm thiểu lỗ hổng.“Phân tích hiệu suất của bảo mật và tự động hóa kiểm tra cho phép các công ty đáp ứng các tiêu chuẩn mà không ảnh hưởng đến hiệu quả”.

Ngoài ra, tư vấn chuyên ngành rất quan trọng trong quá trình này, giúp các công ty thích ứng với các yêu cầu mới của PCI DSS 4.0.“Trong số các dịch vụ được tìm kiếm nhiều nhất là Kiểm tra thâm nhập, Red Team và đánh giá bảo mật của bên thứ ba, giúp xác định và sửa các lỗ hổng trước khi chúng có thể bị khai thác bởi” bọn tội phạm, ông nói.

Với việc gian lận kỹ thuật số ngày càng tinh vi, việc bỏ qua bảo mật dữ liệu không còn là một lựa chọn. “Các công ty đầu tư vào các biện pháp phòng ngừa đảm bảo bảo vệ khách hàng của họ và củng cố vị thế của họ trên thị trường.Việc thực hiện các hướng dẫn mới, trước hết, là một bước thiết yếu để xây dựng một môi trường thanh toán an toàn và đáng tin cậy hơn”, ông kết luận.