Il Payment Security Report 2018 sottolinea che è peggiorata la compliance agli standard di sicurezza dei pagamenti e le aziende sono più vulnerabili al cybercrime. Dopo aver documentato i miglioramenti nella compliance al Payment Card Industry Data Security Standard (PCI DSS) nei passati sei anni (2010-2016), il Payment Security Report 2018 di Verizon adesso rivela un preoccupante trend al ribasso, secondo il quale le aziende non superano la valutazione della compliance a questi requisiti, e, aspetto forse ancor più grave, non riescono ad applicarla appieno.
Il Payment Security Report 2018
I requisiti Payment Card Industry Data Security Standard (PCI DSS) aiutano le aziende che offrono servizi di pagamento tramite carta di credito a proteggere i loro sistemi di pagamento da violazioni e furti di dati dei possessori delle carte di credito.
E’ stato documentato (attraverso i dati del Data Breach Investigations Report di Verizon) che la compliance agli standard PCI DSS aiuta a proteggere i sistemi di pagamento sia dalle violazioni che dal furto dei dati degli intestatari delle carte di credito, ed è per questa ragione che il trend registrato risulta essere allarmante.
Tra i diversi settori economici, i servizi IT restano i migliori per quanto concerne questo aspetto, con tre quarti delle organizzazioni (77.8%) che raggiungono il pieno stato di adeguamento. I settori del Retail (56.3%) e dei servizi finanziari (47.9%) sono molto più attenti rispetto alle organizzazioni del settore hospitality (38.5%), che hanno mostrato il livello di attuabilità della compliance più basso.
Rodolphe Simonetti, global managing director for security consulting di Verizon
L’adeguamento agli standard PCI, nelle aziende di tutto il mondo, è in diminuzione, e questa tendenza non può più continuare. Sia i clienti che i fornitori hanno fiducia nel fatto che i brand si impegnino per mettere in sicurezza i loro dati nei processi di pagamento, per questa ragione dobbiamo intervenire nell’immediato per porre rimedio a questa situazione. Raccomandiamo alle aziende di rivalutare le loro metodologie di misurazione dell’efficacia dei controlli PCI, e di concentrarsi sulla gestione dell’attuabilità della protezione dei propri dati.
L’efficacia e l’attuabilità dei controlli sono essenziali
Di seguito, i nove fattori necessari per controllare efficacia e attuabilità indicati da Verizon, che sostengono i 12 requisiti chiave degli standard PCI DSS:
–Fattore 1– Controllo dell’ambiente: L’attuabilità e l’efficacia dei 12 requisiti chiave dipendono da un Controllo dell’ambiente corretto.
–Fattore 2 – Progettazione dei controlli: un controllo appropriato dell’operatività, necessario per raggiungere gli obiettivi DSS di controllo della sicurezza, dipende da una puntuale Progettazione dei controlli.
–Fattore 3 – Rischi associati ai controlli: Senza una cura continua (test di sicurezza, gestione dei rischi, etc.), l’efficacia dei controlli può scemare nel corso del tempo, e infine venire meno.
–Fattore 4 – Solidità dei controlli: I controlli vengono applicati ad ambienti dinamici e caratterizzati da minacce in costante evoluzione.
–Fattore 5 – Resilienza dei controlli: I controlli di sicurezza potrebbero non entrare in azione anche se vengono aggiunti molteplici step per massimizzarne la solidità, dunque la resilienza attraverso il rilevamento proattivo e il recupero tempestivo in caso di mancato funzionamento sono essenziali per l’efficacia e l’attuabilità.
–Fattore 6 – Gestione del ciclo di vita dei controlli: Per raggiungere gli obiettivi sopra, è necessario monitorare i controlli e gestirli in modo attivo in tutte le fasi del loro ciclo di vita, a partire dalla loro creazione fino alla disattivazione.
–Fattore 7 – Gestione delle performance dei controlli: Definire e comunicare gli standard delle performance per misurare i risultati reali dell’ambiente di controllo ne migliora l’efficacia.
–Fattore 8 – Valutazione della maturità: Un ambiente di controllo non dovrebbe mai diventare stagnante – al contrario, dovrebbe migliorare costantemente.
–Fattore 9 – Autovalutazione: Per raggiungere tutti questi obiettivi è necessaria un’autonomia interna alle aziende – disponibilità di risorse, competenze (processi di supporto), know how e impegno – in poche parole, capacità di autovalutazione.