PCI 硬化规则,电子商务需要更高水平的安全性

数字安全刚刚制定了新的规则，处理信用卡数据的公司需要适应。随着支付卡行业数据安全标准 (PCI DSS) 的 4.0 版本，由 PCI 安全标准委员会 (PCI SSC) 制定，变化非常重要，并直接影响客户数据的保护方式以及如何存储、处理和传输支付数据。但最终，具体变化是什么？

主要的改变是需要更高的数字安全级别。企业将不得不投资于先进技术，例如强大的加密和多因素身份验证。这种方法要求至少有两个验证因素来确认用户身份，然后再授予他们访问系统、应用程序或交易的权限，即使罪犯获得了密码或个人数据，也能够有效地阻止入侵。

使用的身份驗證因素包括：

• 用户知道的事情密碼、PIN 或安全問題的答案。
• 用户拥有的东西物理令牌、带有验证代码的短信、身份验证应用程序（例如 Google Authenticator）或数字证书。
• 用戶的某種東西指紋、臉部、語音或虹膜生物辨識。

這些保護層使未經授權的訪問更加困難，並確保敏感數據具有更高的安全性，他解釋道。

簡而言之，有必要加強客戶數據保護，實施額外措施以防止未經授權的訪問，”Conviso公司首席執行官Wagner Elias解釋道，該公司是應用安全解決方案的開發商。“這不再是‘需要時再適應’的問題，而是要採取預防措施，”他強調。

根據新規定，實施分為兩個階段：第一階段包含 13 個新要求，截止日期為 2024 年 3 月。第二階段則更為嚴格，包含額外的 51 個要求，應於 2025 年 3 月 31 日前完成。換句話說，未做好準備者可能會面臨嚴厲的懲罰。

为了适应新的要求，一些主要措施包括：实施 防火墙 强大的保护系统；在数据传输和存储中使用加密；持续监控和追踪可疑访问和活动；持续测试流程和系统以识别漏洞；制定并维护严格的信息安全政策。

Wagner强调，实际上这意味着任何处理信用卡支付的企业都需要全面审查其数字安全架构。这包括更新系统、加强内部政策并培训团队以最大限度地降低风险。“例如，电子商务公司需要确保客户数据进行端到端加密，并且只有授权用户才能访问敏感信息。而零售网络则需要实施机制，持续监控潜在的欺诈活动和数据泄露，”他举例说明。

银行和金融科技公司也需要加强其身份验证机制，扩大使用诸如生物识别和多因素身份验证等技术。“目标是让交易更安全，同时不会损害客户体验。这需要在保护和可用性之间取得平衡，这是金融业近年来一直在改进的方面，”他强调。

但是，为什么这种变化如此重要？毫不夸张地说，数字欺诈日益复杂化。数据泄露可能导致数百万美元的损失，并对客户信任造成不可挽回的损害。 

瓦格納·埃利亞斯警示：「許多公司仍然採取被動的姿態，只在遭受攻擊後才關注安全問題。這種行為令人擔憂，因為安全漏洞可能導致巨額財務損失，並對組織的聲譽造成無法彌補的損害，而這些損害本可以通過預防措施避免。」

他进一步强调，为了避免这些风险，关键差异在于从新应用程序开发的初期就采用应用安全 (Application Security) 实践，确保软件开发周期的每个阶段都包含防护措施。这确保了在软件生命周期的所有阶段都融入防护措施，相比在事件发生后进行补救，更加经济高效。”

请记住，这是全球范围内不断壮大的趋势。根据 Mordor Intelligence 的预测，2024 年应用安全市场规模为 116.2 亿美元，预计到 2029 年将达到 259.2 亿美元。

Wagner 解释说，像 DevOps 这样的解决方案允许每个代码行都使用保护措施进行开发，此外还包括入侵测试和漏洞缓解等服务。“持续的安全分析和自动化测试使企业能够遵守规范，同时又不影响效率”，他强调。

此外，專業顧問在這個過程中至關重要，幫助企業適應 PCI DSS 4.0 的新要求。“最受歡迎的服務包括滲透測試、紅隊攻擊和第三方安全評估，這些服務能夠幫助識別和修復漏洞，防止被罪犯利用，”他說。

隨著越來越精巧的網路詐騙，忽視資料安全已不再是可選方案。「投資於預防措施的企業能夠保障客戶安全，並鞏固其市場地位。實施新指導方針，首先是建立更安全可靠的支付環境的關鍵一步。」他總結道。