数字安全刚刚获得新规则,处理卡数据的公司需要适应. 随着4版本的到来.支付卡行业数据安全标准(PCI DSS)第0条, 由PCI安全标准委员会(PCI SSC)建立, 变化是重要的,直接影响客户数据的保护以及支付数据的存储方式, 处理和传输. 但是, 毕竟, 真正改变的是什么
主要变化是对更高水平数字安全的需求. 企业将必须投资于先进技术, 强加密和多因素认证. 该方法要求至少两个验证因素以确认用户身份,然后才能授予对系统的访问权限, 应用程序或交易, 困难入侵, 即使罪犯获得了密码或个人数据
用于身份验证的因素包括:
- 用户知道的事情密码, PIN或安全问题的答案
- 用户拥有的东西物理代币, 带有验证码的短信, 身份验证应用程序(如谷歌身份验证器)或数字证书
- 用户是某种东西数字生物识别, 面部, 语音或虹膜识别
“这些保护层使未经授权的访问变得更加困难,并确保敏感数据的更高安全性”, 解释
简而言之, 必须加强对客户数据的保护, 实施额外措施以防止未经授权的访问, 解释瓦格纳·埃利亚斯, Conviso的首席执行官, 应用安全解决方案开发商. “这不再是一个‘在必要时适应’的问题”, 但要采取预防措施, 亮点
根据新规则, 实施分为两个阶段:第一阶段, 带有13个新要求, 截止日期是2024年3月. 第二阶段, 更苛刻, 包括51个额外要求,应该在2025年3月31日前完成. 也就是说,未做好准备的人可能会面临严厉的惩罚
为了适应新的要求, 一些主要行动包括:实施防火墙和强大的保护系统; 在数据传输和存储中使用加密; 持续监控和追踪可疑的访问和活动; 不断测试流程和系统以识别漏洞; 建立和维护严格的信息安全政策
瓦格纳强调说, 在实践中, 这意味着任何处理信用卡支付的公司都需要审查其整个数字安全结构. 这涉及到更新系统, 加强内部政策并培训团队以最小化风险. 例如, 一个电子商务需要确保客户数据端到端加密,并且只有授权用户才能访问敏感信息. 零售网络将必须实施机制,以持续监控可能的欺诈和数据泄露尝试, 举例说明
银行和金融科技公司也需要加强其认证机制, 扩大生物识别和多因素认证等技术的使用. “目标是使交易更加安全,而不影响客户体验”. 这需要在保护和可用性之间取得平衡, 金融部门在过去几年中已经在不断改进的某件事, 亮点
但是, 为什么这个变化如此重要? 并不是夸张地说数字欺诈正变得越来越复杂. 数据泄露可能导致数百万的损失和对客户信任的不可逆转的损害.
瓦格纳·埃利亚斯警告:“许多公司仍然采取反应性态度”, 只在攻击发生后才关注安全. 这种行为令人担忧, 因为安全漏洞可能导致显著的财务损失和对组织声誉的不可挽回的损害, 可以通过预防措施避免的
他还强调,为了避免这些风险, 最大的差异在于从新应用程序开发的开始就采用应用安全(Application Security)实践, 确保软件开发周期的每个阶段都有保护措施. 这确保在软件生命周期的所有阶段都采取保护措施, 比起在事件发生后修复损害,预防显得更加经济
值得注意的是,这是一种在全球范围内不断增长的趋势. 应用安全市场, 动用110亿美元,620亿在2024年, 应达到25美元,到2029年92亿, 根据摩尔多尔情报
瓦格纳解释说,像DevOps这样的解决方案, 允许每行代码在保护实践下开发, 除了入侵测试和漏洞缓解等服务. “持续进行安全分析和测试自动化使企业能够在不影响效率的情况下遵守标准”, 亮点
此外, 专业咨询在这个过程中是重要的, 帮助企业适应PCI DSS 4的新要求.0. “最受欢迎的服务包括渗透测试, 红队和第三方安全评估, 帮助识别和修复漏洞,以防止被犯罪分子利用, 账单
随着数字欺诈日益复杂, 忽视数据安全不再是一个选择. 投资于预防措施的公司确保客户的保护并增强其在市场上的地位. 实施新指引是, 首先, 一个建立更安全、更可靠支付环境的基本步骤, 结束
