数字安全刚刚制定了新规则,处理信用卡数据的公司需要进行调整。 随着支付卡行业数据安全标准(PCI DSS)4.0版本的推出,由PCI安全标准理事会(PCI SSC)制定,相关的变革非常重要,直接影响客户数据的保护以及支付数据的存储、处理和传输方式。 但是,归根结底,真正改变的是什么?
主要的变化是对更高水平数字安全的需求。 企业将不得不投资于先进的技术,如强大的加密和多因素认证。 此方法要求至少两个验证因素以确认用户身份,然后才授予对系统、应用程序或交易的访问权限,即使犯罪分子获得了密码或个人数据,也会增加入侵的难度。
用于身份验证的因素包括:
- 用户知道的事情密码、PIN码或安全问题的答案。
- 用户拥有的东西实体令牌、带验证代码的短信、验证器应用(如Google Authenticator)或数字证书。
- 用户是某种东西数字生物识别,面部,语音或虹膜识别。
“这些保护层使未经授权的访问变得更加困难,并确保敏感数据的更高安全性,”他解释道。
简而言之,需要加强客户数据的保护,采取额外措施防止未经授权的访问,Conviso的首席执行官瓦格纳·埃利亚斯(Wagner Elias)解释道,Conviso是一家应用安全解决方案的开发商。 这不再是“在必要时适应”的问题,而是预防性行动的问题。
根据新规定,实施分为两个阶段:第一阶段包括13项新要求,截止日期为2024年3月。 第二阶段更为严格,包括51项额外要求,应在2025年3月31日前完成。 也就是说,未做好准备的人可能会面临严厉的惩罚。
为了满足新的要求,主要措施包括:实施防火墙以及强大的保护系统;在数据传输和存储中使用加密;持续监控和追踪可疑的访问和活动;不断测试流程和系统以识别漏洞;制定并维护严格的信息安全政策。
瓦格纳强调,实际上,这意味着任何处理信用卡支付的公司都需要重新审查其整个数字安全架构。 这涉及到更新系统、加强内部政策和培训团队以最小化风险。 例如,一个电子商务平台需要确保客户数据端到端加密,并且只有授权用户才能访问敏感信息。而一个零售网络则必须实施机制,持续监控可能的欺诈尝试和数据泄露。
银行和金融科技公司也需要加强其身份验证机制,扩大生物识别和多因素认证等技术的使用。 “目标是使交易更安全,同时不影响客户体验。这需要在保护和易用性之间取得平衡,这是金融行业近年来一直在改进的方面,”他强调。
但是,为什么这个变化如此重要? 不能夸张地说,数字欺诈变得越来越复杂。 数据泄露可能导致数百万美元的损失和对客户信任的不可弥补的损害。
瓦格纳·埃利亚斯提醒:“许多公司仍然采取被动的态度,只有在遭受攻击后才开始关注安全。这种行为令人担忧,因为安全漏洞可能导致巨大的经济损失和无法弥补的声誉损害,而这些都可以通过预防措施加以避免。”
他还强调,为了避免这些风险,从一开始就采用应用安全(Application Security)实践是关键,确保软件开发的每个阶段都采取了保护措施。 这确保在软件生命周期的各个阶段都采取保护措施,比事后弥补损失要经济得多。
值得记住的是,这是一种在全球范围内不断增长的趋势。 根据Mordor Intelligence,2024年应用安全市场规模为116.2亿美元,预计到2029年将达到259.2亿美元。
瓦格纳解释说,像DevOps这样的解决方案允许每一行代码都采用保护措施进行开发,此外还包括渗透测试和漏洞缓解等服务。 “进行持续的安全分析和自动化测试,使企业能够符合标准而不影响效率,”他强调。
此外,专业咨询公司在此过程中也非常重要,帮助企业适应 PCI DSS 4.0 的新要求。 “最受欢迎的服务包括渗透测试、红队和第三方安全评估,帮助识别和修复漏洞,防止被犯罪分子利用,”他介绍道。
随着数字欺诈日益复杂,忽视数据安全已不再是选择。 “投资预防措施的企业确保客户的保护并巩固其在市场上的地位。实施新指南首先是建立一个更安全、更可靠的支付环境的关键步骤,”他总结道。