Nel 2022, "le tecnologie e i servizi mobili hanno generato 5% del PIL, con un contributo pari a $5,2 trilioni", secondo l'analisi della Commissione. GSMA. Con questa posta in gioco - e con i portafogli digitali che si prevede cresceranno a un tasso CAGR di 15% fino al 2026 - garantire la sicurezza dei dati di pagamento non è mai stato così cruciale.
Per oltre un decennio, il Consiglio per gli standard di sicurezza dell'industria delle carte di pagamento (PCI SSC) è all'avanguardia nel mantenere sicuri i pagamenti digitali. Consiglio globale fondato nel 2006 da American Express, Discover, JCB International, MasterCard e Visa Inc., il PCI SSC promuove l'adozione di standard di sicurezza dei dati e fornisce risorse per mantenere i pagamenti sicuri in tutto il mondo.
Il Consiglio definisce tali standard attraverso il Payment Card Industry Data Security Standard (PCI DSS), un quadro di conformità che protegge i dati dei conti delle carte di pagamento e il più ampio ecosistema dei pagamenti. L'ultima versione delle sue linee guida, PCI DSS 4.0, fisserà nuovi importanti standard per i pagamenti digitali richiedendo l'autenticazione a più fattori (MFA). Poiché "ogni commerciante, indipendentemente dal numero di transazioni con carta elaborate, deve essere conforme a PCI", questa nuova guida rappresenta un cambiamento importante per le aziende del mondo.
Vediamo quindi quando le organizzazioni devono passare a PCI DSS 4.0, cosa richiede il nuovo framework, il valore che l'MFA fornisce a tutte le organizzazioni e i modi migliori per implementare l'MFA rapidamente e con successo.
PCI DSS v4.0 è stata pubblicata nel marzo 2022 e include diverse modifiche e aggiornamenti significativi rispetto alla versione precedente, la v3.2.1. Uno degli aggiornamenti più importanti dell'ultima versione è che, mentre MFA avuto era una best practice nelle versioni precedenti degli standard PCI DSS, la versione 4.0 richiede MFA per tutti gli account che possono accedere ai dati dei titolari di carta dopo il 31 marzo 2025.
Le sanzioni per la mancata conformità alle normative PCI sono molto severe. Sebbene il PCI non sia una legge, le violazioni della conformità agli standard PCI DSS possono costare da $5.000 a $100.000. Inoltre, le stesse società di carte di credito possono applicare commissioni di transazione più elevate o addirittura revocare l'uso di una determinata carta per i pagamenti se un'azienda non è conforme.
Il requisito MFA di PCI DSS v4 è uno degli aggiornamenti più grandi, preziosi e importanti per gli esercenti globali. L'MFA è un componente critico dell'architettura della cybersecurity: la Rapporto Verizon sulle indagini sulle violazioni dei dati 2023 ha rilevato che "l'uso di credenziali rubate è diventato il punto di ingresso più popolare per le violazioni" negli ultimi cinque anni. L'MFA avrebbe potuto prevenire molte, se non tutte, le violazioni che hanno avuto inizio con un furto di credenziali.
Il motivo per cui i criminali informatici agiscono è importante quanto il modo in cui le violazioni dei dati hanno inizio: Verizon ha rilevato che "i motivi finanziari sono ancora alla base della stragrande maggioranza delle violazioni". In effetti, i motivi finanziari hanno guidato il 94,6% di tutte le violazioni dello scorso anno. Dato che la maggior parte dei criminali informatici segue il denaro, è probabile che attacchino le informazioni e le infrastrutture di pagamento che trasmettono miliardi di dollari ogni anno.
L'MFA potrebbe impedire ai criminali informatici di utilizzare una credenziale rubata per ottenere un accesso non autorizzato ed esfiltrare informazioni sensibili o dati di carte di pagamento. L'MFA aggiunge un ulteriore livello di sicurezza richiedendo agli utenti di fornire due o più fattori diversi per accedere a una risorsa. Può trattarsi di qualcosa che si conosce (come una password unica), di qualcosa che si possiede (come una smart card o un dispositivo mobile) o di qualcosa che si è (che include la verifica biometrica). Con l'MFA in atto, anche se un criminale informatico ruba o invia la password di un utente, la richiesta di un fattore aggiuntivo può impedirgli di accedere a risorse o applicazioni protette.
Poiché molte violazioni dei dati iniziano con la violazione delle password e l'MFA avrebbe potuto fermarne molte, l'MFA è una delle best practice più durature della cybersecurity: Le soluzioni MFA sono requisiti in Mandati governativi per la sicurezza informatica e polizze assicurative cyber. Oltre a mantenere le organizzazioni conformi e sicure, l'MFA può anche aiutare i profitti di un'organizzazione: la Rapporto IBM sul costo di una violazione dei dati nel 2023 ha rilevato che le violazioni dei dati costano in media $4,45 milioni.
L'MFA offre grandi vantaggi alle organizzazioni: crea una posizione di sicurezza informatica più forte, previene le violazioni dei dati, protegge i profitti dell'organizzazione, mantiene la fiducia dei clienti e impedisce alle aziende di incorrere in sanzioni. In definitiva, la conformità PCI in generale e l'implementazione dell'MFA in particolare offrono notevoli vantaggi.
Un'altra buona notizia: L'implementazione dell'MFA non deve essere necessariamente uno sforzo oneroso. RSA offre una serie di opzioni MFA, tra cui biometria, push-to-approve, one-time password e autenticazione basata su FIDO, che possono aiutare le organizzazioni a conformarsi ai nuovi requisiti MFA previsti da PCI DSS 4.0. Come parte di ID Plus, RSA MFA può anche estendersi ad ambienti on-premise, multicloud e ibridi.
Provatelo voi stessi: iscrivetevi a una prova gratuita di 45 giorni di ID Plus per testare l'MFA fornito tramite MFA, OTP, senza password e altro ancora.
