數位安全剛剛迎來新規,處理卡片資料的公司需要適應。隨著支付卡產業資料安全標準 (PCI DSS) 4.0 版的發布(該標準由支付卡產業安全標準委員會 (PCI SSC) 制定),這些變化意義重大,直接影響客戶資料的保護以及支付資料的儲存、處理和傳輸方式。但究竟發生了哪些變化呢?
主要變化在於對更高水準的數位安全的需求。企業必須投資先進的技術,例如強大的加密和多因素身份驗證。這種方法要求至少透過兩個驗證因素來確認使用者身份,然後才能授予使用者存取系統、應用程式或交易的權限,這使得駭客攻擊更加困難,即使犯罪分子取得了密碼或個人資料。
使用的身份驗證因素包括:
- 使用者知道的某些資訊:密碼、PIN 或安全問題的答案。
- 使用者擁有的東西:實體令牌、帶有驗證碼的簡訊、身份驗證器應用程式(如 Google Authenticator)或數位憑證。
- 使用者身分:數位、臉部、語音或虹膜辨識生物辨識。
他解釋道:“這些保護層使得未經授權的存取變得更加困難,並確保了敏感資料的更高安全性。”
「簡而言之,我們需要透過實施額外措施來加強對客戶資料的保護,以防止未經授權的訪問,」應用安全解決方案開發商 Conviso 的執行長 Wagner Elias 解釋道。 「這不再是『按需調整』的問題,而是預防性措施,」他強調。
根據新規,實施分兩階段進行:第一階段新增13項要求,截止日期為2024年3月。第二階段要求更高,新增51項要求,必須在2025年3月31日前完成。換句話說,未能做好準備的人可能面臨嚴厲的懲罰。
為了適應新的要求,一些關鍵行動包括:實施防火牆和強大的保護系統;在資料傳輸和儲存中使用加密;持續監控和追蹤可疑存取和活動;不斷測試流程和系統以識別漏洞;以及創建和維護嚴格的資訊安全政策。
瓦格納強調,實際上,這意味著任何處理信用卡支付的公司都需要審查其整個數位安全結構。這包括更新系統、加強內部政策以及培訓團隊,以最大程度地降低風險。 「例如,電子商務公司需要確保客戶資料端對端加密,並且只有授權用戶才能存取敏感資訊。另一方面,零售連鎖店則需要實施機制,持續監控潛在的詐欺行為和資料洩露,」他解釋道。
銀行和金融科技公司也需要加強其身分驗證機制,擴大生物辨識和多因素身份驗證等技術的使用。 「我們的目標是在不損害客戶體驗的情況下,提高交易的安全性。這需要在安全性和可用性之間取得平衡,而金融業近年來一直在改進這一點。」他強調。
但為什麼這項改變如此重要?毫不誇張地說,數位詐欺正變得越來越複雜。資料外洩可能造成數百萬美元的損失,並對客戶信任造成無法彌補的損害。
瓦格納·埃利亞斯警告稱:“許多公司仍然採取被動應對的方式,只在攻擊發生後才擔心安全問題。這種行為令人擔憂,因為安全漏洞可能導致重大財務損失,並對組織聲譽造成無法彌補的損害,而這些損失可以通過預防措施來避免。”
他進一步強調,為了規避這些風險,關鍵在於從新應用程式開發伊始就採用應用程式安全實踐,確保軟體開發週期的每個階段都已具備保護措施。這確保了在軟體生命週期的所有階段都實施了保護措施,這比事後補救更具成本效益。
值得注意的是,這是一個全球性的成長趨勢。根據 Mordor Intelligence 的數據,應用程式安全市場規模在 2024 年為 116.2 億美元,預計到 2029 年將達到 259.2 億美元。
Wagner 解釋說,像 DevOps 這樣的解決方案,除了滲透測試和漏洞緩解等服務外,還能讓每一行程式碼的開發都遵循安全規範。他強調:“持續的安全分析和自動化測試,能讓公司在不影響效率的情況下遵守法規。”
此外,專業的諮詢服務在此過程中也發揮著重要作用,能夠幫助企業適應新的 PCI DSS 4.0 要求。 「最受歡迎的服務包括滲透測試、紅隊測試和第三方安全評估,這些服務有助於識別並修復漏洞,防止其被犯罪分子利用,」他解釋道。
隨著數位詐欺日益複雜,忽視資料安全已不再是選項。 「投資於預防措施的公司能夠確保客戶安全並鞏固其市場地位。最重要的是,實施新指南是建立更安全、更可靠的支付環境的重要一步。」他總結道。
