[ad_1]
অর্থ প্রদানের ডেটা সুরক্ষার জন্য পিসিআই ডিএসএস স্ট্যান্ডার্ডের সর্বশেষ সংশোধন, পিসিআই ডিএসএস 4.0.1গত বছর ঘোষণা করা হয়েছিল এবং গত মাসে কার্যকর হয়েছিল।
তবে এই নতুন প্রয়োজনীয়তাগুলি ব্যবসায়ের জন্য কী বোঝায়? আমরা ওয়েব সিকিউরিটি প্ল্যাটফর্মের সিইও সাইমন উইজকম্যানসের সাথে কথা বলেছি সি/সাইডখুঁজে পেতে।
বিএন: পিসিআই ডিএসএস ৪.০.১ কমপ্লায়েন্সের জন্য মার্চ ২০২৫ সালের শেষ সময়সীমা, সংস্থাগুলি এই নতুন প্রয়োজনীয়তাগুলি পূরণে সবচেয়ে গুরুত্বপূর্ণ চ্যালেঞ্জগুলি কী কী?
এসডাব্লু: আমরা যা দেখেছি তা থেকে, সংস্থাগুলি পরে নতুন পিসিআই ডিএসএসের সম্মতি প্রয়োজনীয়তাগুলি তাদের হওয়া উচিত এবং তাদের বোঝার জন্য তাদের বোঝার এবং বোঝার মধ্যে রয়েছে। যদিও পুরোপুরি যথাযথ অধ্যবসায় এবং বহু-অংশীদারদের অনুমোদনের প্রক্রিয়াগুলি (অবশ্যই) এন্টারপ্রাইজ সুরক্ষার বৈশিষ্ট্য রয়েছে, তবে এই প্রয়োজনীয় দীর্ঘতর বাস্তবায়ন চক্রকে সম্মতি পরিকল্পনায় ফ্যাক্টর করা দরকার।
অধিকন্তু, ক্লায়েন্ট-সাইড সুরক্ষা অনেক সংস্থার জন্য তুলনামূলকভাবে নতুন ডোমেন, যা দলগুলি জুড়ে উল্লেখযোগ্য শিক্ষা এবং সচেতনতা-বিল্ডিংয়ের প্রয়োজন। আমরা অবশ্য এই জায়গাতে তথ্য এবং শিক্ষামূলক সংস্থানগুলির ক্রমবর্ধমান প্রবাহ দেখতে উত্সাহিত করছি।
এখানে আরেকটি বিষয় হ’ল নতুন পিসিআই ডিএসএস ম্যান্ডেট এবং পূর্ববর্তী পিসিআই ডিএসএস ভি 4.0 স্কোপের মধ্যে একটি বড় শিফট রয়েছে যা এখন তিন বছর ধরে বাইরে রয়েছে। এমনকি যদি আপনি কোনও আইফ্রেমে অনলাইন লেনদেনের জন্য তৃতীয় পক্ষের অর্থ প্রদান সরবরাহকারী ব্যবহার করেন তবে আপনাকে এখনও আপনার ক্লায়েন্ট-সাইড সুরক্ষা এবং সুরক্ষা শিরোনামগুলি পর্যবেক্ষণ করতে হবে। পূর্বে পিসিআই ডিএসএস সম্পর্কিত মানসিকতা হ’ল আপনি এটিকে তৃতীয় পক্ষের পরিষেবাতে ঠেলে দিতে পারেন, তবে নতুন সুযোগের অধীনে একা এটি যথেষ্ট হবে না।
বিএন: একাধিক পেমেন্ট সিস্টেম এবং নিয়ন্ত্রক ফ্রেমওয়ার্কগুলির সাথে বিশ্বব্যাপী পরিচালিত উদ্যোগগুলির জন্য, এই নতুন পিসিআই ডিএসএসের প্রয়োজনীয়তাগুলি কীভাবে জিডিপিআর বা আঞ্চলিক গোপনীয়তা আইনগুলির সাথে সম্মতি বজায় রাখার জন্য অন্যান্য ডেটা সুরক্ষা মানগুলির সাথে ওভারল্যাপ বা সম্ভাব্যভাবে বিরোধ করবে?
এসডাব্লু: আমরা এন্টারপ্রাইজ গ্রাহকদের কাছ থেকে শিখেছি যে তাদের প্রায়শই তাদের প্রাথমিক একটি (নির্দিষ্ট ইভেন্ট, অংশীদারিত্ব ইত্যাদির জন্য) সহ দশটি (আরও বেশি না হলে) ওয়েবসাইট থাকে। এগুলি প্রায়শই বাহ্যিক এজেন্সিগুলি এবং বিভিন্ন পেমেন্ট গেটওয়ে দ্বারা পরিচালিত হয়।
যখন এটি পিসিআই ডিএসএসের কথা আসে, এটি আপনি যে গোপনীয়তা আইন উল্লেখ করেছেন তার মতো একই গল্প। প্রতিটি সাইট হওয়া দরকার স্বাধীনভাবে অনুগত। তৃতীয় পক্ষের অংশীদারদের সাথে জড়িত থাকায়, দক্ষিণে গেলে আসলে কে দায়ী তা নিয়ে লাইনগুলি কিছুটা অস্পষ্ট হয়ে যায়। আমার মতে, এন্টারপ্রাইজ এবং ছোট উভয় সংস্থাগুলি উভয়কেই এ সম্পর্কে সচেতন হওয়া এবং তাদের নিজেরাই লাগাম নেওয়ার সর্বোত্তম অনুশীলন নেওয়া দরকার।
অন্যান্য ফ্রেমওয়ার্কগুলির মতো নয় যা ‘তৃতীয় পক্ষের নির্ভরতা’ সম্পর্কে আরও সাধারণভাবে কথা বলে, পিসিআই ডিএসএস ক্লায়েন্ট-পক্ষের সুরক্ষা স্পষ্টভাবে ডাকে। এটি একটি ভাল জিনিস, কারণ এটি ক্লায়েন্ট-সাইড সম্পাদিত নির্ভরতাগুলি সুযোগে রয়েছে কিনা তা সন্দেহ সরিয়ে দেয়। ডোরা, এইচআইপিএএ এবং এসওসি 2 এর মতো অন্যান্য ফ্রেমওয়ার্কগুলি খুব উচ্চ স্তরে নির্ভরতা পরিচালনার বিষয়ে কথা বলে। এটি বিশ্রী পরিস্থিতি তৈরি করেছে যে বেশিরভাগ ওয়েবসাইটের মালিকরা জানেন না যে তাদের ওয়েবসাইট বা নির্ভরতা কোনও ব্যবহারকারীর ব্রাউজারে কীভাবে আচরণ করে।
বিএন: নতুন প্রয়োজনীয়তা 6.4.3 এবং 11.6.1 বিশেষত ব্রাউজার-সাইড ওয়েব স্ক্রিপ্টগুলিকে লক্ষ্য করে। কেন এটি পিসিআই সুরক্ষা স্ট্যান্ডার্ড কাউন্সিলের জন্য এত গুরুত্বপূর্ণ সুরক্ষা ফোকাস হয়ে উঠেছে?
এসডাব্লু: সংস্থাগুলি এবং সাইবার সুরক্ষা শিল্প ক্রমবর্ধমান মেঘ সুরক্ষা, ওপেন সোর্স নির্ভরতা সুরক্ষা ইত্যাদিতে বিনিয়োগ করেছে তবে সাইবার সুরক্ষা স্থানটি কিছুটা ফুটো বালতি। একবার আপনি একটি গর্ত প্যাচ করার পরে অন্যটি দ্রুত ফাঁস হয়ে যায়। ক্লায়েন্ট-পক্ষের আক্রমণে ঠিক এটিই ঘটছে।
যদিও ব্রাউজার-সাইড ওয়েব স্ক্রিপ্টগুলি ব্যবহার করে আক্রমণগুলি কিছু সময়ের জন্য ঘটছে, আমরা একটি উল্লেখযোগ্য বৃদ্ধি দেখতে পাচ্ছি। পিসিআই সম্প্রদায় এটি সম্পর্কে যথাযথভাবে সচেতন হয়েছে এবং এই সমস্যাটি প্রশমিত করার জন্য প্রয়োজনীয় পদক্ষেপ নিচ্ছে। আজকাল বেশিরভাগ ক্রেডিট কার্ড চুরি ব্রাউজারে ঘটে, তাই সেশন টোকেন, সংবেদনশীল তথ্য, ক্রিপ্টো মাইনিং এবং এমনকি তৃতীয় পক্ষের ওয়েব স্ক্রিপ্টগুলি থেকে উদ্ভূত ডিডিওএস আক্রমণ সহ বৃহত্তর স্কেল আক্রমণ পৃষ্ঠটি কল্পনা করুন।
বিএন: অনেক উদ্যোগ এখনও স্ক্রিপ্ট পর্যবেক্ষণের জন্য উত্তরাধিকার সুরক্ষা কৌশল ব্যবহার করছে। এটি আজকের হুমকির প্রাকৃতিক দৃশ্যে তৈরি করে এমন সম্ভাব্য অন্ধ দাগ বা দুর্বলতাগুলি কী কী?
এসডাব্লু: একটি বহুল জনপ্রিয় একটি বিষয়বস্তু সুরক্ষা নীতি (সিএসপি) ব্যবহার। এগুলি ম্যানুয়ালি সেট করা নিয়ম যা কোনও স্ক্রিপ্ট আনতে বা সীমাবদ্ধ করে যদি এটি কোনও অনুমোদিত উত্স থেকে উদ্ভূত না হয়। তবে, একটি স্ক্রিপ্টের পে -লোড যাচাই করা হয় না।
গত বছরের সবচেয়ে বড় ক্লায়েন্ট-পক্ষের আক্রমণ-দ্য পলিফিল আক্রমণ – কেবলমাত্র একটি ডোমেনের মালিকানা পরিবর্তনের কারণে প্রায় অর্ধ মিলিয়ন ওয়েবসাইটগুলি আপস করেছে। প্রায় কোনও সংস্থা এই পরিবর্তন সম্পর্কে সচেতন ছিল না এবং হঠাৎ নতুন মালিক দর্শনার্থীদের ব্রাউজারে কিছু লোড করতে পারে। আমরা একদিন লক্ষ লক্ষ দর্শনার্থীর সাথে কথা বলছি যা সম্ভবত ফেব্রুয়ারি থেকে ২০২৪ সালের মধ্যে লক্ষ্যবস্তু করা হয়েছিল। এবং আমরা কোনটিও নিশ্চিতভাবে জানি না, কারণ খারাপ অভিনেতা ডোমেনে অ্যাক্সেস পেয়েছিলেন তবে সেই সময়ের মধ্যে কেউই দেখছিলেন না
পে -লোড পরিবর্তন করে আক্রমণটি বন্ধ করা খুব সহজ। একটি সিএসপি শিরোনাম এটি থামবে না, কারণ ইউআরএল একই ছিল। এ কারণেই লোডগুলি যে স্ক্রিপ্টটির সঠিক পে -লোড পর্যবেক্ষণ করা এত গুরুত্বপূর্ণ। তবেই আপনি নিশ্চিত হন যে আপনার ব্যবহারকারীরা প্রভাবিত হয় না।
বিএন: পিসিআই ডিএসএস 4.0.1 এ বার্ষিক নিরীক্ষণ থেকে অবিচ্ছিন্ন পর্যবেক্ষণে স্থানান্তরিত হয়েছে। সংস্থাগুলি তাদের সুরক্ষা অবকাঠামোতে যাওয়ার জন্য কীভাবে এই পরিবর্তনটি পরিবর্তন করছে?
এসডাব্লু: ক্লায়েন্ট-সাইড সুরক্ষা স্পেসে সত্যটি হ’ল বার্ষিক অডিটগুলি খুব ধীর। জাভাস্ক্রিপ্টটি গতিশীল হওয়ার জন্য ডিজাইন করা হয়েছে যাতে এটি অনেক কারণের ভিত্তিতে ব্রাউজারগুলিতে যা কিছু চায় তা লোড করতে পারে। একজন আক্রমণকারী নিরাপদ স্ক্রিপ্টটি 99 শতাংশ সময় এবং দূষিত একটি মাত্র এক শতাংশ লোড করতে পারে। সময় অঞ্চল, ব্যবহারকারী এজেন্টস, অন্যান্য স্ক্রিপ্টগুলি… এগুলি এমন সমস্ত কারণ যা কোনও আক্রমণকারী সুরক্ষা ব্যবস্থাগুলি রোধ করতে ব্যবহার করতে পারে।
মাত্র একটি বার্ষিক নিরীক্ষণের সাহায্যে আপনি একটি কাগজের বিমানের সাথে একটি যোদ্ধা জেট রেস করছেন – আপনি কখনই এটিকে পরাজিত করবেন না।
বিএন: ছয়-চিত্রের মাসিক জরিমানা এবং কার্ড গ্রহণযোগ্যতা ক্ষমতা স্থগিতাদেশ সহ সম্ভাব্য জরিমানার সাথে, কীভাবে সংস্থাগুলি তাদের 2025 পরিকল্পনায় অন্যান্য সাইবারসিকিউরিটি উদ্যোগের বিরুদ্ধে এই নতুন প্রয়োজনীয়তাগুলিকে অগ্রাধিকার দেবে বা কীভাবে করা উচিত?
এসডাব্লু: এই দৃষ্টিকোণ থেকে জরিমানা পিসিআই ডিএসএস এবং অন্যান্য বিধিবিধান না মেনে চলার কারণে। প্রয়োজনীয়তা .4.৪.৩ এবং ১১.6.১ (যা আমরা ফোকাস করি) মেনে চলার প্রয়োজনীয়তা আপনার ক্রেডিট কার্ড গ্রহণযোগ্যতার ক্ষমতা হারাতে না পারার অগ্রাধিকার হওয়া উচিত যা অবশ্যই কোনও সংস্থার উপার্জন প্রবাহের জন্য বিপর্যয়কর হবে।
এটি অবশ্য অন্যান্য জরিমানা বাতিল করে না। যদি কোনও আক্রমণটি ছিনতাই করে, যদিও আপনি উভয় প্রয়োজনীয়তার সাথে মেনে চলেন, আপনি এখনও সম্ভাব্য মামলা এবং জরিমানার জন্য লক্ষ্য। আমরা গ্রাহকদের জানানো হয়েছে যে তাদের সাইবার বীমা হারগুলি যদি সম্মতি নির্বিশেষে কোনও ধরণের আক্রমণ ঘটে তবে তাদের সাইবার বীমা হার বাড়বে। প্রকৃতপক্ষে, সাইবার বীমাকারীদের ইতিমধ্যে পিসিআই ডিএসএস সম্মতি প্রয়োজন, তাই আপনার যদি বাক্সটি টিক দেওয়া উচিত তবে যথাযথ সুরক্ষা ব্যবস্থা বাস্তবায়ন না করা উচিত, আপনি সম্মতি লঙ্ঘন এবং বীমা উভয় জটিলতা উভয়ই ঝুঁকিপূর্ণ করেন।
বিএন: সামনের দিকে তাকিয়ে, আপনি কীভাবে এই নতুন পিসিআই প্রয়োজনীয়তাগুলি বিস্তৃত সাইবারসিকিউরিটি ল্যান্ডস্কেপকে প্রভাবিত করে এবং কীভাবে সংস্থাগুলি নিরাপদে অর্থ প্রদানের ডেটা পরিচালনা করে?
এসডাব্লু: এই বিধিগুলি আরও শক্ত হয়ে উঠতে দেখে অত্যন্ত ইতিবাচক। হ্যাঁ, এর অর্থ প্রায়শই সংস্থাগুলি থেকে মেনে চলার জন্য অতিরিক্ত বিনিয়োগ এবং কাজের চাপ। তবে আমাদের অবশ্যই এই বিধিগুলির পিছনে মূল ধারণাটি মনে রাখতে হবে: সাইট দর্শকদের রাখা – এবং বিশেষত পিসিআই ডিএসএসের ক্ষেত্রে ক্রেতাদের – ওয়েবে নিরাপদ। এটি শেষ পর্যন্ত তাদের সুরক্ষাকে শক্তিশালী করে এমন সংস্থাগুলিকেও উপকৃত করে, এমন একটি জায়গাতে অতিরিক্ত প্রতিরক্ষা লাইন হিসাবে যা ক্রমবর্ধমান আরও আক্রমণ দেখে।
আমরা পিসিআই এসএসসি সহযোগী অংশগ্রহণকারী সংস্থা প্রোগ্রামের গর্বিত সদস্য। এটি আমাদের ক্লায়েন্ট-সাইড সুরক্ষা জায়গাতে যে পরিবর্তনগুলি ঘটছে সে সম্পর্কে কাউন্সিলকে বসতে, কথা বলতে এবং অবহিত করতে দেয়। আমরা কেবল নিরাপদ ব্রাউজিংয়ের অভিজ্ঞতার জন্য মানদণ্ড নির্ধারণের জন্য তাদের প্রশংসা করতে পারি।
চিত্র ক্রেডিট:: অডিউন্ডওয়ারবং/ড্রিমসটাইম ডটকম
[ad_2]
