Verizon: trend al ribasso sulla sicurezza delle carte di credito

Mercato

I dati del team di Verizon PCI DSS Qualified Security Assessors nel 2017 hanno evidenziato che l’adeguamento ai requisiti PCI tra le aziende a livello mondiale è in calo; il 52.4% delle organizzazioni ha mantenuto l’adeguamento ai requisiti nel 2016 era di 55,4%

Dopo aver documentato i miglioramenti nella compliance al Payment Card Industry Data Security Standard (PCI DSS) nei passati sei anni (2010-2016), il Payment Security Report 2018 di Verizon (PSR) adesso rivela un preoccupante trend al ribasso, secondo il quale le aziende non superano la valutazione della compliance a questi requisiti, e, aspetto forse ancor più grave, non riescono ad applicarla appieno.
I requisiti Payment Card Industry Data Security Standard (PCI DSS) aiutano le aziende che offrono servizi di pagamento tramite carta di credito a proteggere i loro sistemi di pagamento da violazioni e furti di dati dei possessori delle carte di credito.

E’ stato documentato (attraverso i dati del Data Breach Investigations Report di Verizon) che la compliance agli standard PCI DSS aiuta a proteggere i sistemi di pagamento sia dalle violazioni che dal furto dei dati degli intestatari delle carte di credito, ed è per questa ragione che il trend registrato risulta essere allarmante.
I dati raccolti dal team di Verizon PCI DSS Qualified Security Assessors (QSAs) nel 2017 hanno evidenziato che l’adeguamento ai requisiti PCI tra le aziende a livello mondiale è in calo; solo il 52.4% delle organizzazioni, infatti, ha mantenuto pieno rigore nell’adeguamento ai requisiti nel 2017, una percentuale inferiore se paragonata a quella del 2016, di 55,4%.
Sono state evidenziate le differenze di diverse aree regionali, e ciò che è emerso è che il 77.8% delle aziende appartenenti all’area Asia-Pacifico è propenso alla conformità di questi requisiti di sicurezza, a differenza delle aziende presenti in Europa (46.4%) e in America (39.7%). Le ragioni di tali differenze possono derivare da tempi differenti di applicazione delle strategie di compliance in base all’area geografica di appartenenza, dall’approccio culturale nella valutazione di premi e riconoscimenti o dalla maturità dei sistemi IT.

Fonte Verizon

Tra i diversi settori economici, i servizi IT restano i migliori per quanto concerne questo aspetto, con tre quarti delle organizzazioni (77.8%) che raggiungono il pieno stato di adeguamento. I settori del Retail (56.3%) e dei servizi finanziari (47.9%) sono molto più attenti rispetto alle organizzazioni del settore hospitality (38.5%), che hanno mostrato il livello di attuabilità della compliance più basso.
Dato che diverse aziende spesso sfruttano gli sforzi di adeguamento ai requisiti PCI DSS per raggiungere gli standard di sicurezza imposti dalle normative sulla protezione dei dati, come il Regolamento Europeo per la protezione dei dati personali (GDPR), il gap esistente tra i vari settori economici che offrono quotidianamente pagamenti elettronici è certamente rilevante.
“L’adeguamento agli standard PCI, nelle aziende di tutto il mondo, è in diminuzione, e questa tendenza non può più continuare”, commenta Rodolphe Simonetti, global managing director for security consulting di Verizon.
“Sia i clienti che i fornitori hanno fiducia nel fatto che i brand si impegnino per mettere in sicurezza i loro dati nei processi di pagamento, per questa ragione dobbiamo intervenire nell’immediato per porre rimedio a questa situazione. Raccomandiamo alle aziende di rivalutare le loro metodologie di misurazione dell’efficacia dei controlli PCI, e di concentrarsi sulla gestione dell’attuabilità della protezione dei propri dati”.

Fonte Verizon

L’efficacia e l’attuabilità dei controlli sono essenziali
Continua Simonetti: “Verizon è stata in prima linea per quanto concerne la sicurezza dei dati dei possessori di carta di credito, fin dal 2003, collaborando strettamente con la PCI Community per aumentare la compliance agli standard PCI DSS. In base al nostro know how e alla nostra esperienza sul campo, abbiamo identificato nove fattori che possono aiutare le aziende ad adeguarsi al livello di compliance richiesto. Il nostro scopo è quello di fornire una struttura ed una metodologia chiara per aiutare inizialmente il personale addetto alla compliance, ma anche per dare loro gli strumenti necessari affinché sia possibile un dialogo aperto circa questo argomento con i membri del board aziendale, rendendo queste tematiche meno ostiche.
Perché i procedimenti di compliance possano essere efficaci, devono provenire dall’alto, anche se spesso, i messaggi di innovazione o le sfide non vengono veicolati in modo chiaro o non sono del tutto compresi dalla dirigenza”.

L’obiettivo del PSR 2018 non è convincere i lettori della necessità di aderire agli standard PCI, piuttosto di enfatizzare l’importanza della misurazione dei risultati e dell’efficacia dei controlli. L’edizione di quest’anno del report racchiude i risultati delle verifiche sugli standard PCI effettuate da un team di Verizon dedicato, il team PCI Qualified Security Assessors, per Fortune 500 e per altre grandi multinazionali, in più di 30 paesi diversi.
Proprio come nel caso del Data Breach Investigations Report, il PSR 2018 si basa su casi reali, con focus specifici relativi ai settori dei servizi finanziari (58%), dei servizi IT (15%), retail (13%) e hospitality (11%). Le aree geografiche analizzate comprendono America (48%), APAC (30%) e Europa (23%).

Read also :
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore