数字安全领域迎来了新的规则,处理银行卡数据的公司需要做出相应调整。随着支付卡行业数据安全标准(PCI DSS)4.0 版的发布,由支付卡行业安全标准委员会(PCI SSC)制定的 PCI DSS 发生了重大变化,这些变化直接影响到客户数据的保护以及支付数据的存储、处理和传输方式。但归根结底,究竟有哪些变化呢?
主要变化在于对更高水平数字安全的需求。企业必须投资于先进技术,例如强大的加密技术和多因素身份验证。这种方法至少需要两种验证因素来确认用户身份,才能授予用户访问系统、应用程序或进行交易的权限,即使犯罪分子掌握了密码或个人数据,也更难入侵。
使用的身份验证因素包括:
- 用户知道的信息:密码、PIN 码或安全问题的答案。
- 用户拥有的物品:实体令牌、带有验证码的短信、身份验证器应用程序(如 Google Authenticator)或数字证书。
- 用户所拥有的某些特征:数字生物识别、面部识别、语音识别或虹膜识别。
他解释说:“这些多层保护措施使得未经授权的访问更加困难,并确保了敏感数据的更高安全性。”
“简而言之,必须通过实施更多措施来加强对客户数据的保护,以防止未经授权的访问,”应用安全解决方案开发商Conviso的首席执行官瓦格纳·埃利亚斯解释说。“这不再是‘必要时才进行调整’的问题,而是要采取预防性措施,”他强调说。
根据新规,实施分两个阶段:第一阶段包含13项新要求,截止日期为2024年3月;第二阶段要求更高,包含51项额外要求,截止日期为2025年3月31日。换句话说,未做好准备者可能面临严厉处罚。
为满足新要求,一些主要措施包括:实施防火墙和保护系统;在数据传输和存储中使用加密;持续监控和跟踪可疑访问和活动;不断测试流程和系统以识别漏洞;以及制定和维护严格的信息安全策略。
瓦格纳强调,实际上,这意味着任何处理银行卡支付的公司都需要审查其整个数字安全架构。这包括更新系统、强化内部政策以及培训团队以最大限度地降低风险。“例如,电子商务公司需要确保客户数据端到端加密,并且只有授权用户才能访问敏感信息。另一方面,零售连锁店则必须实施相关机制,持续监控可能的欺诈企图和数据泄露,”他举例说道。
银行和金融科技公司也需要加强身份验证机制,扩大生物识别和多因素身份验证等技术的应用。“我们的目标是在不影响客户体验的前提下,提高交易安全性。这需要在安全性和易用性之间取得平衡,而金融行业近年来一直在努力改善这一点。”他强调说。
但为什么这种变化如此重要?毫不夸张地说,网络诈骗正变得越来越复杂。数据泄露可能造成数百万美元的损失,并对客户信任造成不可挽回的损害。
瓦格纳·埃利亚斯警告说:“许多公司仍然采取被动应对的态度,只有在遭受攻击后才开始关注安全问题。这种行为令人担忧,因为安全漏洞可能导致重大的经济损失和对组织声誉的不可挽回的损害,而这些损失本可以通过预防措施来避免。”
他进一步强调,为避免这些风险,关键在于从新应用开发之初就采用应用安全实践,确保软件开发周期的每个阶段都已落实保护措施。这保证了在软件生命周期的所有阶段都包含保护措施,比事后补救要经济得多。
值得注意的是,这在全球范围内正成为一种日益增长的趋势。据Mordor Intelligence的数据显示,应用安全市场在2024年创造了116.2亿美元的市场规模,预计到2029年将达到259.2亿美元。
瓦格纳解释说,像DevOps这样的解决方案允许在开发每一行代码时都融入安全防护措施,此外还提供渗透测试和漏洞缓解等服务。“持续的安全分析和测试自动化能够帮助企业在不影响效率的前提下满足标准,”他强调说。
此外,专业咨询公司在这一过程中也发挥着重要作用,它们可以帮助企业适应 PCI DSS 4.0 的新要求。“最受欢迎的服务包括渗透测试、红队测试和第三方安全评估,这些服务有助于在漏洞被犯罪分子利用之前识别并纠正漏洞,”他说道。
随着数字欺诈手段日益复杂,忽视数据安全已不再可行。“投资于预防措施的公司能够确保客户安全,并巩固其市场地位。实施新准则,首先是构建更安全、更可靠的支付环境的关键一步。”他总结道。
