數位安全剛剛獲得了處理卡片資料需要適應的新規則和公司。隨著 PCI 安全標準委員會 (PCI SSC) 制定的支付卡產業資料安全標準 (PCI DSS) 4.0 版本的到來,這些變更非常重要,並且直接影響客戶資料的保護以及支付資料的儲存方式、處理和傳輸。但畢竟,到底發生了什麼變化?
主要的變化是需要更高水準的數位安全。企業將不得不投資先進技術,例如強大的加密和多因素身份驗證。這種方法在授予對系統、應用程式或交易的存取權限之前至少需要兩個驗證因素來確認用戶的身份,這使得攻擊者很難即使犯罪分子有權存取密碼或個人數據,攻擊者也會進行駭客攻擊。
使用的身份驗證因素包括:
- 用戶知道的事情:密碼、PIN 碼或安全問題答案。
- 用戶擁有的東西:實體代幣、帶有驗證碼的簡訊、驗證應用程式(例如 Google Authenticator)或數位憑證。
- 用戶是這樣的東西:數位、臉部生物辨識、語音或虹膜辨識。
「這些保護層使未經授權的存取變得更加困難,並確保發送資料的安全性更高,」他解釋道。
"簡而言之,我們需要透過實施額外措施來防止未經授權的訪問來加強對客戶資料的保護",應用程式安全解決方案開發商 Conviso 執行長 Wagner Elias 解釋道。 "這不再是"在必要時進行調整"的問題,而是採取預防措施",他指出。
根據新規定,實施分兩個階段進行:第一階段有13 項新要求,截止日期為2024 年3 月。第二階段要求更高,包括51 項額外要求,應在2025 年3 月31 日之前滿足。也就是說,那些沒有做好準備的人可能會面臨嚴厲的處罰。
為了適應新的要求,一些主要行動包括: 實施 防火牆 強大的保護系統;在資料傳輸和儲存中使用加密;持續監控和追蹤可疑的存取和活動;不斷測試流程和系統以識別漏洞;制定並維護嚴格的資訊安全策略。
瓦格納指出,在實踐中,這意味著任何處理卡片支付的公司都需要審查其整個數位安全結構。這涉及更新系統、執行內部政策和培訓團隊以最大限度地降低風險。 “例如,電子商務需要確保客戶資料端對端加密,並且只有授權使用者才能存取敏感資訊。他舉例說,零售網路已經必須實施機制來持續監控可能的詐欺企圖和資料外洩。
銀行和金融科技公司還需要加強其身份驗證機制,擴大生物識別和多因素身份驗證等技術的使用。「O 旨在在不損害客戶體驗的情況下使交易更加安全。這需要在保護和可用性之間取得平衡,而金融業近年來已經取得了進步,他指出。
但為什麼這項改變如此重要?可以毫不誇張地說,數位詐欺日益複雜。資料外洩可能導致百萬富翁損失和對客戶信任造成不可挽回的損害。
瓦格納·埃利亞斯警告說:「許多公司仍然採取反應姿態,只是在攻擊發生後擔心安全問題。」這種行為令人擔憂,因為安全故障可能會對組織的聲譽造成重大財務損失和不可挽回的損害,而預防措施可以避免這種情況」。
他還指出,為了避免這些風險,最大的區別是從新應用程式開發之初就採用應用程式安全(Application Security)實踐,確保軟體開發週期的每個階段都已經有保護措施。這確保了在軟體生命週期的所有階段插入保護措施,比補救事件發生後的損害經濟得多。
Mordor Intelligence 表示,應用程式安全市場到 2024 年將成長 116.2 億美元,預計到 2029 年將達到 259.2 億美元。
Wagner 解釋說,像 DevOps 這樣的解決方案允許根據保護實踐以及滲透測試和漏洞緩解等服務來開發每一行程式碼。安全和測試自動化的效能分析使公司能夠在不影響效率的情況下滿足標準。
此外,專業諮詢在此過程中也很重要,可以幫助公司適應PCI DSS 4.0的新要求。「最受歡迎的服務包括滲透測試、紅隊和第三方安全評估,這些服務有助於識別和糾正漏洞之前的問題。」他說,「它們可以被犯罪分子利用」。
隨著數位詐欺變得越來越複雜,忽視資料安全不再是一種選擇。 “投資預防措施的公司可以確保保護客戶並加強其在市場中的地位”。總結道,實施新準則首先是建立更安全、更可靠的支付環境的重要一步。
