Bảo mật kỹ thuật số vừa được áp dụng các quy định mới, và các công ty xử lý dữ liệu thẻ cần phải thích ứng. Với sự ra mắt của phiên bản 4.0 của Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS), do Hội đồng Tiêu chuẩn Bảo mật PCI (PCI SSC) thiết lập, những thay đổi này rất đáng kể và tác động trực tiếp đến việc bảo vệ dữ liệu khách hàng cũng như cách thức lưu trữ, xử lý và truyền tải dữ liệu thanh toán. Nhưng điều gì thực sự thay đổi?
Thay đổi chính nằm ở nhu cầu bảo mật kỹ thuật số ở mức độ cao hơn nữa. Các công ty sẽ phải đầu tư vào các công nghệ tiên tiến như mã hóa mạnh mẽ và xác thực đa yếu tố. Phương pháp này yêu cầu ít nhất hai yếu tố xác minh để xác nhận danh tính người dùng trước khi cấp quyền truy cập vào hệ thống, ứng dụng hoặc giao dịch, khiến việc tấn công trở nên khó khăn hơn, ngay cả khi tội phạm có được quyền truy cập vào mật khẩu hoặc dữ liệu cá nhân.
Trong số các yếu tố xác thực được sử dụng là:
- Những thông tin mà người dùng biết : mật khẩu, mã PIN hoặc câu trả lời cho câu hỏi bảo mật.
- Những thứ người dùng có : mã thông báo vật lý, tin nhắn SMS có mã xác minh, ứng dụng xác thực (như Google Authenticator) hoặc chứng chỉ kỹ thuật số.
- Người dùng có thể nhận dạng bằng sinh trắc học kỹ thuật số, khuôn mặt, giọng nói hoặc mống mắt.
Ông giải thích: “Những lớp bảo vệ này khiến việc truy cập trái phép trở nên khó khăn hơn nhiều và đảm bảo an ninh cao hơn cho dữ liệu nhạy cảm”.
"Tóm lại, chúng ta cần tăng cường bảo vệ dữ liệu khách hàng bằng cách triển khai các biện pháp bổ sung để ngăn chặn truy cập trái phép", Wagner Elias, Giám đốc điều hành của Conviso, một nhà phát triển giải pháp bảo mật ứng dụng, giải thích. "Vấn đề không còn là 'thích ứng khi cần thiết' nữa, mà là hành động phòng ngừa", ông nhấn mạnh.
Theo các quy định mới, việc thực hiện diễn ra theo hai giai đoạn: giai đoạn đầu tiên, với 13 yêu cầu mới, có thời hạn là tháng 3 năm 2024. Giai đoạn thứ hai, khắt khe hơn, bao gồm 51 yêu cầu bổ sung và phải đáp ứng trước ngày 31 tháng 3 năm 2025. Nói cách khác, những người không chuẩn bị có thể phải đối mặt với hình phạt nghiêm khắc.
Để thích ứng với các yêu cầu mới, một số hành động chính bao gồm: triển khai tường lửa và hệ thống bảo vệ mạnh mẽ; sử dụng mã hóa trong truyền và lưu trữ dữ liệu; liên tục giám sát và theo dõi hoạt động và truy cập đáng ngờ; liên tục kiểm tra các quy trình và hệ thống để xác định lỗ hổng; và tạo và duy trì chính sách bảo mật thông tin nghiêm ngặt.
Wagner nhấn mạnh rằng, trên thực tế, điều này có nghĩa là bất kỳ công ty nào xử lý thanh toán bằng thẻ sẽ cần xem xét lại toàn bộ cấu trúc bảo mật kỹ thuật số của mình. Việc này bao gồm việc cập nhật hệ thống, củng cố chính sách nội bộ và đào tạo đội ngũ để giảm thiểu rủi ro. "Ví dụ, một công ty thương mại điện tử sẽ cần đảm bảo dữ liệu khách hàng được mã hóa đầu cuối và chỉ những người dùng được ủy quyền mới có quyền truy cập vào thông tin nhạy cảm. Mặt khác, một chuỗi bán lẻ sẽ cần triển khai các cơ chế để liên tục giám sát các nỗ lực gian lận và rò rỉ dữ liệu có thể xảy ra", ông giải thích.
Các ngân hàng và công ty công nghệ tài chính (fintech) cũng cần tăng cường cơ chế xác thực, mở rộng việc sử dụng các công nghệ như sinh trắc học và xác thực đa yếu tố. "Mục tiêu là làm cho các giao dịch an toàn hơn mà không ảnh hưởng đến trải nghiệm của khách hàng. Điều này đòi hỏi sự cân bằng giữa bảo mật và khả năng sử dụng, một điều mà ngành tài chính đã và đang cải thiện trong những năm gần đây", ông nhấn mạnh.
Nhưng tại sao sự thay đổi này lại quan trọng đến vậy? Không ngoa khi nói rằng gian lận kỹ thuật số đang ngày càng tinh vi. Việc vi phạm dữ liệu có thể gây ra thiệt hại hàng triệu đô la và gây tổn hại không thể khắc phục đối với niềm tin của khách hàng.
Wagner Elias cảnh báo: "Nhiều công ty vẫn áp dụng phương pháp phản ứng, chỉ lo lắng về an ninh sau khi bị tấn công. Hành vi này rất đáng lo ngại, vì vi phạm an ninh có thể dẫn đến tổn thất tài chính đáng kể và thiệt hại không thể khắc phục đối với danh tiếng của tổ chức, điều mà có thể tránh được bằng các biện pháp phòng ngừa."
Ông nhấn mạnh thêm rằng để tránh những rủi ro này, điều quan trọng là áp dụng các biện pháp Bảo mật Ứng dụng ngay từ đầu quá trình phát triển ứng dụng mới, đảm bảo mỗi giai đoạn của chu trình phát triển phần mềm đều đã có các biện pháp bảo vệ. Điều này đảm bảo các biện pháp bảo vệ được triển khai ở tất cả các giai đoạn của vòng đời phần mềm, tiết kiệm chi phí hơn nhiều so với việc khắc phục thiệt hại sau sự cố.
Điều đáng chú ý là đây là một xu hướng đang phát triển trên toàn thế giới. Thị trường bảo mật ứng dụng, được định giá 11,62 tỷ đô la vào năm 2024, dự kiến sẽ đạt 25,92 tỷ đô la vào năm 2029, theo Mordor Intelligence.
Wagner giải thích rằng các giải pháp như DevOps cho phép phát triển từng dòng mã với các biện pháp an toàn, bên cạnh các dịch vụ như kiểm tra xâm nhập và giảm thiểu lỗ hổng. "Việc tiến hành phân tích bảo mật liên tục và tự động hóa kiểm tra cho phép các công ty tuân thủ các quy định mà không ảnh hưởng đến hiệu quả", ông nhấn mạnh.
Hơn nữa, các dịch vụ tư vấn chuyên biệt đóng vai trò quan trọng trong quá trình này, giúp các công ty thích ứng với các yêu cầu mới của PCI DSS 4.0. "Trong số các dịch vụ được tìm kiếm nhiều nhất là Kiểm tra Thâm nhập, Red Team và đánh giá bảo mật của bên thứ ba, giúp xác định và khắc phục các lỗ hổng trước khi chúng có thể bị tội phạm khai thác", ông giải thích.
Với tình hình gian lận kỹ thuật số ngày càng tinh vi, việc bỏ qua bảo mật dữ liệu không còn là lựa chọn khả thi nữa. "Các công ty đầu tư vào các biện pháp phòng ngừa sẽ đảm bảo an toàn cho khách hàng và củng cố vị thế trên thị trường. Việc triển khai các hướng dẫn mới, trên hết, là một bước thiết yếu để xây dựng một môi trường thanh toán an toàn và đáng tin cậy hơn", ông kết luận.
