Em 2022, "as tecnologias e os serviços móveis geraram 5% do PIB, uma contribuição que chegou a $5,2 trilhões", de acordo com a GSMA. Com tanto em jogo - e com as carteiras digitais projetadas para crescer a um CAGR de 15% até 2026 - garantir a segurança dos dados de pagamento nunca foi tão crucial.
Por mais de uma década, a Conselho de Padrões de Segurança do Setor de Cartões de Pagamento (PCI SSC) tem estado na vanguarda da segurança dos pagamentos digitais. Um conselho global fundado em 2006 pela American Express, Discover, JCB International, MasterCard e Visa Inc., o PCI SSC impulsiona a adoção de padrões de segurança de dados e fornece recursos para manter os pagamentos seguros em todo o mundo.
O Conselho define esses padrões por meio do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), uma estrutura de conformidade que protege os dados de contas de cartões de pagamento e o ecossistema de pagamentos mais amplo. A versão mais recente de suas diretrizes, o PCI DSS 4.0, definirá novos padrões importantes para pagamentos digitais ao exigir a autenticação multifator (MFA). Como "toda empresa, independentemente do número de transações com cartão processadas, deve estar em conformidade com o PCI", essa nova orientação representa uma grande mudança para as empresas do mundo todo.
Portanto, vamos analisar quando as organizações devem migrar para o PCI DSS 4.0, o que a nova estrutura exige, o valor que a MFA oferece a todas as organizações e as melhores maneiras de as organizações implementarem a MFA de forma rápida e bem-sucedida.
PCI DSS v4.0 foi publicada em março de 2022 e inclui várias alterações e atualizações significativas em comparação com sua antecessora, a v3.2.1. Uma das atualizações mais importantes da versão mais recente é que, embora o MFA tinha era uma prática recomendada nas versões anteriores do PCI DSS, versão 4.0 requer MFA para todas as contas que podem acessar os dados do titular do cartão após 31 de março de 2025.
As penalidades por não atender às normas da PCI são pesadas. Embora a PCI não seja uma lei, as violações da conformidade com o PCI DSS podem custar de $5.000 a $100.000. E as próprias empresas de cartão de crédito podem cobrar taxas de transação mais altas ou até mesmo revogar o uso de um determinado cartão para pagamentos se uma empresa não estiver em conformidade.
O requisito de MFA no PCI DSS v4 é uma das maiores, mais valiosas e mais importantes atualizações para os comerciantes globais. A MFA é um componente essencial da arquitetura de segurança cibernética: a Relatório de Investigações de Violação de Dados da Verizon 2023 descobriu que "o uso de credenciais roubadas tornou-se o ponto de entrada mais popular para violações" nos últimos cinco anos. A MFA poderia ter evitado muitas - se não todas - das violações que começaram com uma credencial roubada.
Tão importante quanto a forma como as violações de dados começam é o motivo pelo qual os criminosos cibernéticos agem: A Verizon descobriu que "as motivações financeiras ainda impulsionam a grande maioria das violações". De fato, as motivações financeiras foram responsáveis por 94,6% de todas as violações no ano passado. Como a maioria dos criminosos cibernéticos segue o dinheiro, é provável que eles ataquem as informações de pagamento e a infraestrutura que transmite bilhões de dólares todos os anos.
A MFA pode impedir que os criminosos cibernéticos usem uma credencial roubada para obter acesso não autorizado e exfiltrar informações confidenciais ou dados de cartões de pagamento. A MFA acrescenta uma camada extra de segurança ao exigir que os usuários forneçam dois ou mais fatores diferentes para obter acesso a um recurso. Isso pode ser algo que eles saibam (como uma senha de uso único), algo que eles tenham (como um cartão inteligente ou dispositivo móvel) ou algo que eles sejam (o que incluiria a verificação biométrica). Com a MFA implementada, mesmo que um criminoso cibernético roube ou faça phishing da senha de um usuário, a exigência de um fator adicional pode impedi-lo de acessar recursos ou aplicativos protegidos.
Como muitas violações de dados começam com a quebra de senhas, e como a MFA poderia ter impedido muitas delas, a MFA é uma das práticas recomendadas mais duradouras da segurança cibernética: As soluções de MFA são requisitos em mandatos governamentais de segurança cibernética e apólices de seguro cibernético. Além de manter as organizações em conformidade e seguras, a MFA também pode ajudar nos resultados financeiros de uma organização: a Relatório IBM sobre o custo de uma violação de dados em 2023 descobriu que as violações de dados custam em média $4,45 milhões.
A MFA oferece grandes benefícios às organizações: cria uma postura de segurança cibernética mais forte, evita violações de dados, protege os resultados da organização, mantém a confiança dos clientes e evita que as empresas incorram em multas. Em última análise, há uma vantagem considerável na conformidade com a PCI em geral e na implementação da MFA especificamente.
E mais uma boa notícia: A implementação do MFA não precisa ser um esforço oneroso. A RSA fornece uma variedade de opções de MFA-incluindo biometria, push-to-approve, senha de uso único e autenticação baseada em FIDO-que podem ajudar as organizações a cumprir os novos requisitos de MFA encontrados no PCI DSS 4.0. Como parte do ID Plus, o RSA MFA pode se estender até mesmo a ambientes locais, multinuvem e híbridos.
Experimente você mesmo: inscreva-se em uma avaliação gratuita de 45 dias do ID Plus para testar a MFA fornecida via MFA, OTP, sem senha e muito mais.
