在巴西,信用卡是主要支付方式之一,数字数据的价值与现金相当,网络欺诈的风险日益存在,需要消费者和企业格外注意。
为了了解这个问题的严重程度,四分之一的巴西人曾在国内遭受过诈骗和金融欺诈,这占到42%的巴西人。 数据来自“2024数字身份与欺诈报告”,由Serasa Experian进行的调查。
另一项由全国零售商协会(CNDL)和信用保护服务(SPC Brasil)联合Sebrae进行的研究显示,过去12个月内,约有840万消费者报告在金融机构遭遇欺诈。 在各种欺诈手段中,信用卡和借记卡的复制是主要的欺诈类型。
尽管据Serasa数据显示,大约70%的巴西人拥有三张或更多信用卡,但风险感知仍然较低。 大约69%的巴西人仍低估在网站和应用程序上注册财务数据的危险,这使得大量人口暴露于数字诈骗和网络攻击之下。
在数字安全警觉日益增强的背景下,好消息不断传来:新的举措和技术进步正使网络环境每天都变得更加安全。
最近,PCI安全标准委员会(PCI SSC)提出了关于持续开发和改进安全标准的新指南,适用于存储、处理或传输支付数据的企业,以及用于交易的软件和设备的开发商和制造商。 PCI 是一个全球性组织,汇集了支付行业的主要参与者,推动资源的使用以实现安全交易。
“随着威胁和技术的发展,PCI DSS 标准也在不断发展。因此,现在必须关注新的要求并做出必要的调整”,应用安全解决方案开发商 Conviso 首席执行官 Wagner Elias 警告说。
更新内容包括支付卡行业数据安全标准(PCI DSS),旨在保护整个支付价值链。 您的合规要求涵盖从持卡人数据的存储到对敏感支付信息访问的安全性。
“简而言之,有必要加强对客户数据的保护,实施额外措施防止未经授权的访问,”专家说。
因此,企业需要适应并投资于新技术。 为了让您有个概念,其中一些解决方案能够提供每个应用程序相关风险的全面视图。 “这些工具集成了不同的系统,集中信息并协助行动的优先级排序,全部以持续的方式,”Conviso的首席执行官关于其于2010年推出的Conviso Platform Application Security Posture Management(ASPM)平台如此解释。
然而,专家指出,许多公司仍然采取被动的安全态度,只有在遭受攻击后才将其作为优先事项。 据他说,这种行为令人担忧,因为安全漏洞可能导致巨大的财务损失和无法弥补的声誉损害,而这些都可以通过预防措施加以避免。
对他来说,在考虑创建新软件时,企业必须在整个开发周期的每个阶段都融入安全措施,从需求分析(第一阶段,分析应用程序的功能)到部署(生产和最终交付)。
“为了避免这些风险,最大的区别是从新应用程序开发开始就采用应用程序安全实践。这确保了在软件生命周期的所有阶段都包含保护措施。除了比事故发生后修复损害更具成本效益之外,投资预防性安全也更为有效。这使我们能够防止攻击,保护敏感数据,确保遵守法律和准则,并保证应用程序从一开始就对用户安全可靠,”专家说。
瓦格纳解释说,公司开发的解决方案将安全性集成到DevOps中,允许每一行代码都采用保护措施进行开发,还提供渗透测试和漏洞缓解等服务。 韦格纳指出:“进行持续的安全分析和自动化测试,使企业能够符合标准而不影响效率。”
除了实施强大的技术外,Conviso的首席执行官强调了专业咨询的重要性,这些咨询帮助企业适应PCI DSS 4.0及其他法规的要求。 攻击性服务如渗透测试、红队和第三方安全评估促进了一种主动且全面的安全方法,能够在漏洞被利用之前识别和修复它们。
必须加速投资
这种数字安全的转变不仅增强了消费者对安全在线环境的信任,还伴随着应用安全市场的快速增长,据Mordor Intelligence预测,市场规模将从2024年的116.2亿美元扩大到2029年的259.2亿美元。 “实施尖端技术标志着数字保护的转折点,并增强了对一个比以往任何时候都更依赖安全以实现繁荣的市场的信任,”瓦格纳总结道。
查看 4.0 合规性检查必须满足的 12 项 PCI DSS 要求列表:
- 安装和维护防火墙
- 删除供应商默认配置
- 保护存储的持卡人数据
- 加密支付数据的传输
- 定期更新防病毒软件
- 部署安全系统和应用程序
- 根据需要限制对持卡人数据的访问
- 分配用户访问 ID
- 限制对数据的物理访问
- 跟踪和监控网络访问
- 持续测试流程和系统是否存在漏洞
- 创建并维护信息安全策略
PCI DSS 4.0 指南的实施分两个阶段进行:
- 第一阶段有 13 项新要求,截止日期为 2024 年 3 月 31 日。
- 第二阶段增加了51项要求,必须在2025年3月31日之前实施。
