নতুন পেমেন্ট সিকিউরিটি স্ট্যান্ডার্ড আপডেটে সেন্স অফ আর্জেন্সির অভাব রয়েছে (ডনি ম্যাককল)

সময় স্ট্যাম্প: 13 অক্টোবর, 2022 3:25 পূর্বাহ্ন
উত্স নোড: 1722615

যেহেতু COVID-এর কারণে বিশ্বজুড়ে ব্যবসা-বাণিজ্যে আঘাত লেগেছে, এবং দোকানগুলি হয় বন্ধ হয়ে গেছে বা অর্থপ্রদানের পছন্দের পদ্ধতি হিসাবে নগদ গ্রহণ করছে না, আমরা পেমেন্ট কার্ডের ডেটা ভলিউমে নাটকীয়ভাবে বৃদ্ধি পেয়েছি। আজকে দ্রুত-ফরোয়ার্ড, এবং অনলাইন লেনদেনের পরিমাণ এবং
পয়েন্ট-অফ-সেল মেশিনের ব্যবহার বাড়তে থাকে। যেহেতু বেশিরভাগ ডেটা ক্লাউডে রাখা হয়, সাইবার-আক্রমণের সুযোগগুলি একই সময়ে বেড়ে চলেছে, যার অর্থ হল পেমেন্ট কার্ড ইন্ডাস্ট্রি ডেটা সিকিউরিটি স্ট্যান্ডার্ড (PCI DSS) এর আগের সংস্করণ
আর পর্যাপ্ত নয়।

2004 সাল থেকে, PCI DSS নিশ্চিত করেছে যে সংস্থাগুলি ক্রেডিট কার্ডের তথ্য প্রক্রিয়াকরণ বা সংরক্ষণ করে তা নিরাপদে করতে পারে। মহামারীর পরে, নিরাপত্তা নিয়ন্ত্রণের নির্দেশিকা একটি আপডেটের জরুরি প্রয়োজন ছিল। এটি হল যখন নতুন সংস্করণ – PCI DSS v4.0 –
ঘোষণা করা হয়েছিল। যদিও কোম্পানিগুলিকে তাদের বাস্তবায়নের পরিকল্পনা করার জন্য দুই বছর সময় আছে, বেশিরভাগ আর্থিক ব্যবসার অবশ্যই 2025 সালের মার্চের মধ্যে সবকিছু ঠিক রাখতে হবে। যাইহোক, একটি দীর্ঘ সময়ের জন্য কাজ করার ঝুঁকি রয়েছে কারণ এটি জরুরীতার অনুভূতি তৈরি করতে ব্যর্থ হয় এবং অনেক
নতুন স্ট্যান্ডার্ডে অন্তর্ভুক্ত নিরাপত্তা আপডেটগুলির মধ্যে এমন অনুশীলনগুলি যা ব্যবসায়িকদের ইতিমধ্যেই প্রয়োগ করা উচিত ছিল৷

উদাহরণ স্বরূপ, “8.3.6 – পাসওয়ার্ডের জন্য ন্যূনতম স্তরের জটিলতা যখন একটি প্রমাণীকরণ ফ্যাক্টর হিসাবে ব্যবহার করা হয়” বা “5.4.1 – ফিশিং আক্রমণের বিরুদ্ধে কর্মীদের সনাক্তকরণ এবং সুরক্ষা করার জন্য ব্যবস্থা রয়েছে” “বাস্তবায়নের জন্য অ-জরুরী আপডেট” হিসাবে তালিকাভুক্ত করা হয়েছে 36 মাসে"।
রাশিয়ান-ইউক্রেনীয় দ্বন্দ্বের পরে উচ্চ স্তরের সাইবার হুমকির সাথে, এই সময়সীমাটি আর্থিক প্রতিষ্ঠান এবং খুচরা ব্যবসার জন্য প্রয়োজনীয় সাইবার সুরক্ষার স্তর বাড়ানোর জন্য যথেষ্ট দ্রুত নয় যা গ্রাহকের ডেটা এবং গোপনীয়তার জন্য সত্যিকারের হুমকি হয়ে দাঁড়ায়।

এটিকে আরও ভেঙে ফেলার জন্য, কিছু গুরুত্বপূর্ণ এবং আকর্ষণীয় সংখ্যা রয়েছে যা এর সুযোগ এবং সীমাবদ্ধতা উভয়ই ব্যাখ্যা করে:

  • 51 এবং 2025 PCI DSS V4.0 - 51 এর আশেপাশের মূল সমস্যাগুলিকে ব্যাখ্যা করে যা এখন থেকে 2025 সালের মধ্যে "সেরা অনুশীলন" হিসাবে শ্রেণীবদ্ধ করা হয়েছে প্রস্তাবিত পরিবর্তনগুলির সংখ্যা, যখন সেগুলি প্রয়োগ করা হয়, যা তিন বছর দূরে!

আসুন সমস্ত V13 মূল্যায়নের জন্য 4.0টি তাৎক্ষণিক পরিবর্তনগুলি ঘনিষ্ঠভাবে দেখি, যার মধ্যে "ক্রিয়াকলাপ সম্পাদনের জন্য ভূমিকা এবং দায়িত্বগুলি নথিভুক্ত, বরাদ্দ করা এবং বোঝা" এর মতো আইটেমগুলি অন্তর্ভুক্ত রয়েছে৷ এর মধ্যে 10টি তাৎক্ষণিক পরিবর্তনের মধ্যে 13টি রয়েছে, যার অর্থ
"জরুরি আপডেট" এর বেশিরভাগই মূলত দায়বদ্ধতার পয়েন্ট, যেখানে কোম্পানিগুলি স্বীকার করে যে তাদের কিছু করা উচিত।

এবং এখন আসুন আপডেটগুলি দেখি যা "মার্চ 2025 এর মধ্যে কার্যকর হতে হবে":

  • 5.3.3: অপসারণযোগ্য ইলেকট্রনিক মিডিয়া ব্যবহার করা হলে অ্যান্টি-ম্যালওয়্যার স্ক্যান করা হয়

  • 5.4.1: ফিশিং আক্রমণের বিরুদ্ধে কর্মীদের সনাক্ত এবং সুরক্ষা করার জন্য ব্যবস্থা রয়েছে৷

  • 7.2.4: সমস্ত ব্যবহারকারীর অ্যাকাউন্ট এবং সংশ্লিষ্ট অ্যাক্সেস সুবিধাগুলি যথাযথভাবে পর্যালোচনা করুন।

  • 8.3.6: পাসওয়ার্ডের জন্য ন্যূনতম স্তরের জটিলতা যখন একটি প্রমাণীকরণ ফ্যাক্টর হিসাবে ব্যবহৃত হয়।

  • 8.4.2: CDE (কার্ডহোল্ডার ডেটা এনভায়রনমেন্ট) তে সমস্ত অ্যাক্সেসের জন্য মাল্টি-ফ্যাক্টর প্রমাণীকরণ

  • 10.7.3: সমালোচনামূলক নিরাপত্তা নিয়ন্ত্রণ ব্যবস্থার ব্যর্থতাগুলি অবিলম্বে সাড়া দেওয়া হয়

এগুলি 51টি "অ-জরুরি" আপডেটগুলির মধ্যে মাত্র ছয়টি, এবং আমি এটিকে অবিশ্বাস্য মনে করি যে ফিশিং আক্রমণ সনাক্তকরণ এবং অ্যান্টি-ম্যালওয়্যার স্ক্যানগুলির ব্যবহার সেই তালিকার অংশ। আজ, সর্বকালের সর্বোচ্চ ফিশিং আক্রমণের সাথে, আমি যে কোনও বৈশ্বিক আর্থিক আশা করব৷
সংবেদনশীল তথ্য সহ প্রতিষ্ঠান এইগুলিকে অপরিহার্য প্রয়োজনীয়তা হিসাবে রাখতে রক্ষা করার জন্য, তিন বছরের সময়ের মধ্যে কিছু করার মতো নয়।

সংস্থাগুলি PCI মানগুলি মেনে চলতে ব্যর্থ হলে বিশাল জরিমানা এবং একটি অর্থপ্রদানের পদ্ধতি হিসাবে ক্রেডিট কার্ডগুলি প্রত্যাহার করার ঝুঁকি থাকা সত্ত্বেও, এখনও পর্যন্ত শুধুমাত্র কয়েকটি জরিমানা করা হয়েছে৷ নতুন প্রয়োজনীয়তা বাস্তবায়নের জন্য আরও তিন বছর অপেক্ষা করা হচ্ছে
V4.0 এর মধ্যে থাকা মালিকানার অভাব বোঝায় যা কিছু পরিবর্তন প্রাপ্য এবং অনেক বেশি ঝুঁকিপূর্ণ।

আমি প্রশংসা করি যে এর অর্থ এই নয় যে কোম্পানিগুলি ইতিমধ্যে কিছু বা সমস্ত আপডেট বাস্তবায়ন করেনি। যাইহোক, যাদের নেই তাদের জন্য, এই আপডেটগুলি কার্যকর করার জন্য বিনিয়োগ এবং পরিকল্পনার প্রয়োজন হবে এবং এই উদ্দেশ্যে, PCI DSS V4.0 আরও নির্দিষ্ট হওয়া দরকার।
উদাহরণস্বরূপ, যদি নিরাপত্তা ব্যর্থতার জন্য "তাত্ক্ষণিকভাবে" প্রতিক্রিয়া জানাতে হয়, তার মানে কি 24 ঘন্টা, 24 দিন বা 24 মাস? আমি বিশ্বাস করি যে স্টেকহোল্ডারদের আরও নির্দিষ্ট সময়সীমার সাথে আরও ভাল পরিবেশন করা হবে।

যদিও PCI DSS V4.0 মানকে এগিয়ে নিয়ে যাওয়ার জন্য একটি ভাল ভিত্তি উপস্থাপন করে, এটি আরও বেশি জরুরিতার সাথে প্রয়োগ করা উচিত ছিল। এটা ঠিক যে, মোকাবেলা করার জন্য অনেক পরিবর্তন আছে, কিন্তু একটি ভাল কৌশল হবে পর্যায়ক্রমিক পদ্ধতি গ্রহণ করা, অর্থাৎ পরিবর্তনগুলিকে অগ্রাধিকার দেওয়া
অবিলম্বে প্রয়োজন, এখন থেকে 12 মাস, 24 মাস এবং 36 মাসের মধ্যে বলার পরিবর্তে এগুলি অবশ্যই তিন বছরের মধ্যে কার্যকর হবে৷

এই নির্দেশিকা ব্যতীত, সম্ভবত কিছু সংস্থা এই প্রকল্পগুলিকে শেল্ভ করে দেবে দুই বছরের মধ্যে যখন বাস্তবায়ন পরিকল্পনার সময়সীমা ঘনিয়ে আসবে। যাইহোক, একটি যুগে যখন পেমেন্ট কার্ড অপরাধ একটি সর্বব্যাপী ঝুঁকি হতে থাকে, সেখানে সামান্যই
বিলম্ব থেকে লাভ করা

সময় স্ট্যাম্প:

থেকে আরো ফিনটেক্সট্রা