في عام 2022، "أنتجت تقنيات وخدمات الهاتف المحمول 51 تريليون تيرابايت من الناتج المحلي الإجمالي، وهي مساهمة بلغت 1 تريليون تيرابايت و5.2 تريليون تيرابايت"، وفقًا الاتحاد العالمي للاتصالات المتنقلة. ومع وجود هذا القدر الكبير على المحك - ومع توقع نمو المحافظ الرقمية بمعدل نمو سنوي مركب يبلغ 151 تيرابايت في 3 تيرابايت حتى عام 2026 - فإن ضمان أمن بيانات الدفع لم يكن أكثر أهمية من أي وقت مضى.
على مدار أكثر من عقد من الزمن، كان مجلس المعايير الأمنية لصناعة بطاقات الدفع (PCI SSC) في طليعة الجهات التي تحافظ على أمان المدفوعات الرقمية. وهو مجلس عالمي تأسس عام 2006 من قبل American Express وDiscover وJCB International وMasterCard وVisa Inc. وهو مجلس عالمي يقود اعتماد معايير أمن البيانات ويوفر الموارد اللازمة للحفاظ على سلامة المدفوعات في جميع أنحاء العالم.
ويضع المجلس هذه المعايير من خلال معيار أمن بيانات صناعة بطاقات الدفع (PCI DSS)، وهو إطار عمل للامتثال يحمي بيانات حساب بطاقة الدفع ونظام الدفع الأوسع نطاقاً. سيضع الإصدار الأخير من إرشاداته، PCI DSS 4.0، معايير جديدة مهمة للمدفوعات الرقمية من خلال طلب مصادقة متعددة العوامل (MFA). نظرًا لأن "يجب أن يكون كل تاجر، بغض النظر عن عدد معاملات البطاقات التي تتم معالجتها، متوافقًا مع PCI"، يمثل هذا التوجيه الجديد تحولًا كبيرًا للشركات في العالم.
لذا، دعونا نستعرض متى يجب على المؤسسات الانتقال إلى نظام PCI DSS 4.0، وما يتطلبه الإطار الجديد، والقيمة التي يوفرها المصادقة الآلية لجميع المؤسسات، وأفضل الطرق للمؤسسات لتنفيذ المصادقة الآلية بسرعة ونجاح.
PCI DSS v4.0 نُشر في مارس 2022، ويتضمن العديد من التغييرات والتحديثات المهمة مقارنةً بالإصدار السابق له، الإصدار 3.2.1. أحد أهم التحديثات في الإصدار الأخير هو أنه في حين أن MFA كان كانت من أفضل الممارسات في الإصدارات السابقة من PCI DSS، الإصدار 4.0 يتطلب MFA لجميع الحسابات التي يمكنها الوصول إلى بيانات حامل البطاقة بعد 31 مارس 2025.
إن عقوبات عدم الالتزام بلوائح PCI باهظة. على الرغم من أن PCI ليس قانونًا، إلا أن انتهاكات الامتثال للوائح PCI DSS يمكن أن تكلف ما بين $5,000 إلى $100,000. وقد تقوم شركات بطاقات الائتمان نفسها بفرض رسوم معاملات أعلى أو حتى إلغاء استخدام بطاقة معينة للمدفوعات إذا كانت الشركة غير متوافقة.
يُعدّ متطلب المصادقة المصغّرة (MFA) في الإصدار الرابع من PCI DSS v4 أحد أكبر التحديثات وأكثرها قيمةً وأهميةً للتجار العالميين. تُعد المصادقة الفنلندية للمعاملات المالية MFA عنصرًا حاسمًا في بنية الأمن السيبراني: تقرير تحقيقات اختراق البيانات لعام 2023 الصادر عن شركة فيرايزون أن "استخدام بيانات الاعتماد المسروقة أصبح نقطة الدخول الأكثر شيوعًا للاختراقات" على مدار السنوات الخمس الماضية. كان من الممكن أن يمنع MFA العديد من الاختراقات التي بدأت ببيانات اعتماد مسروقة من البداية - إن لم يكن جميعها.
لا يقل أهمية عن كيفية بدء عمليات اختراق البيانات أهمية عن السبب الذي يدفع مجرمي الإنترنت إلى ارتكابها: وجدت شركة Verizon أن "الدوافع المالية لا تزال تقود الغالبية العظمى من الاختراقات." في الواقع، قادت الدوافع المالية 94.61 تيرابايت من جميع الاختراقات في العام الماضي. وبالنظر إلى أن معظم مجرمي الإنترنت يتبعون المال، فمن المحتمل أن يهاجموا معلومات الدفع والبنية التحتية التي تنقل مليارات الدولارات كل عام.
يمكن أن تمنع المصادقة المصادقة متعددة العوامل مجرمي الإنترنت من استخدام بيانات اعتماد مسروقة للوصول غير المصرح به واستخراج المعلومات الحساسة أو بيانات بطاقات الدفع. تضيف المصادقة المصفوفة متعددة العوامل (MFA) طبقة إضافية من الأمان من خلال مطالبة المستخدمين بتقديم عاملين مختلفين أو أكثر للوصول إلى مورد ما. يمكن أن يكون هذا شيئًا يعرفونه (مثل كلمة مرور لمرة واحدة)، أو شيئًا يمتلكونه (مثل بطاقة ذكية أو جهاز محمول)، أو شيئًا ما هم عليه (والذي قد يتضمن التحقق من المقاييس الحيوية). مع وجود المصادقة متعددة العوامل، حتى لو قام أحد مجرمي الإنترنت بسرقة كلمة مرور المستخدم أو تصيدها، فإن طلب عامل إضافي يمكن أن يمنعه من الوصول إلى الموارد أو التطبيقات الآمنة.
نظرًا لأن العديد من عمليات اختراق البيانات تبدأ بكسر كلمات المرور، ولأن المصادقة المصادقة المصغرة MFA كان من الممكن أن توقف العديد منها، فإن المصادقة المصغرة MFA هي واحدة من أفضل ممارسات الأمن السيبراني الأكثر ديمومة: حلول المصادقة المصغّرة هي متطلبات في تفويضات الأمن السيبراني الحكومية و بوالص التأمين الإلكتروني. وبالإضافة إلى الحفاظ على امتثال المؤسسات وأمانها، يمكن أن يساعد المصادقة الآلية أيضًا في تحقيق الأرباح النهائية للمؤسسة: يمكن أن يساعد تقرير تكلفة اختراق البيانات الصادر عن شركة IBM لعام 2023 وجدت أن اختراقات البيانات تكلف في المتوسط $4.45 مليون دولار.
توفر المصادقة المصادقة الآلية MFA فوائد كبيرة للمؤسسات: فهي تخلق وضعًا أقوى للأمن السيبراني، وتمنع انتهاكات البيانات، وتحمي صافي أرباح المؤسسة، وتحافظ على ثقة العملاء، وتمنع الشركات من تكبد غرامات. في نهاية المطاف، هناك جانب إيجابي كبير للامتثال لمعايير PCI بشكل عام ولتطبيق المصادقة الآلية على وجه التحديد.
وهناك خبر سار آخر: لا يجب أن يكون تنفيذ المصادقة المصغرة MFA جهدًا مرهقًا. حيث توفر RSA مجموعة من خيارات المصادقة المصادقة المصغرة-بما في ذلك القياسات الحيوية والدفع للموافقة وكلمة المرور لمرة واحدة والمصادقة القائمة على FIDO-والتي يمكن أن تساعد جميعًا المؤسسات على الامتثال لمتطلبات المصادقة المصغرة الجديدة الموجودة في PCI DSS 4.0. كجزء من ID Plus، يمكن أن تمتد المصادقة المصادقة المصغرة للمصادقة متعددة العوامل عبر البيئات المحلية والمتعددة السحابية والهجينة.
جرّبه بنفسك: اشترك في تجربة مجانية لمدة 45 يومًا من ID Plus لاختبار المصادقة متعددة العوامل التي يتم تقديمها عبر MFA و OTP وبدون كلمة مرور والمزيد.
