Menu

Pagamenti Online? Attenzione: l'80% delle aziende non conformi a PCI!

I dati rilevati dall'indagine pubblicata sull'edizione 2015 del Verizon PCI Report lanciano un allarme sulle modalità di trattamento dei dati in relazione al Payment Card Industry Data Security Standard (PCI DSS).

Stando a quanto riportato dal 2015 PCI Compliance Report di Verizon, quasi l'80% delle aziende non supera la verifica intermedia della conformità allo standard Payment Card Industry Data Security Standard (PCI DSS), risultando in tal modo vulnerabili ai potenziali cyberattacchi.

Se si considera che più dei due terzi degli acquisti sono oggi effettuati con carte di pagamento e che le transazioni, nel 2015, dovrebbero superare i 20 trilioni di dollari, la sicurezza diventa quindi la priorità principale per tutte le società che elaborano transazioni con carte di credito.

Giunto alla sua quarta edizione, il Verizon 2015 PCI Compliance Report esamina lo stato della conformità allo Standard PCI e la sua correlazione con le violazioni dei dati di aziende di tutto il mondo operanti, tra gli altri, nei settori dei servizi finanziari, retail, travel e hospitality.

Lo studio di Verizon ha evidenziato la diretta correlazione, dal 2009 a oggi, tra le aziende che hanno subito violazioni dei dati e quelle con un più basso livello di compliance alle normative dettate dal PCI DSS ed al superamento dei relativi controlli.

Un aspetto che ha conseguenze tanto sul fronte dei potenziali danni ai quali ci si espone, quanto sulla perdita di fiducia da parte dei propri clienti, Lo stesso Report, infatti, evidenzia che il 69% dei consumatori è meno disposto ad avere a che fare con un'azienda i cui dati siano stati violati. Ragione di più per investire nelle azioni che portano al rispetto degli standard Payment Card Industry (PCI) DSS nati proprio per ridurre i rischi e i danni delle azioni dei cybercriminali.

Simonetti-Rodolphe“L’attuale panorama della sicurezza informatica è in continuo cambiamento", ha affermato Rodolphe Simonetti, Managing Director, PCI Practice di Verizon Enterprise Solutions. "Essere conformi in un particolare momento non è sufficiente per proteggere i dati. Il segreto è fare in modo che la conformità sia sostenibile. Deve essere parte integrante delle attività quotidiane all'interno di una strategia di sicurezza più ampia.”

I numeri più significativi del 2015 PCI Report

  1. A meno di un anno dalla verifica formale, solo il 29% delle aziende è totalmente conforme agli standard DSS.
  2. Il numero di aziende conformi durante il controllo provvisorio del 2014 è quasi raddoppiato rispetto al 2013.
  3. Tra il 2013 e il 2014 la conformità è aumentata per 11 dei 12 requisiti PCI DSS. In altre parole, il 60% delle aziende analizzate nel 2014 sono risultate conformi ad ogni requisito, con un incremento medio alla conformità pari a 18 punti percentuali.
  4. L'incremento maggiore lo si è registrato nell'autenticazione degli accessi (Requisito n.8).
  5. L'unica area in cui la conformità è diminuita riguarda i test dei sistemi di sicurezza (Requisito n. 11), passata dal 40% al 33%.

Secondo Simonetti, “Le tre aree chiave nelle quali le aziende non superano la conformità riguardano: i test regolari dei sistemi, i sistemi di mantenimento della sicurezza e la protezione dei dati memorizzati. Di tutte le violazioni analizzate, i dati raccolti da Verizon mostrano chiaramente come nessuna delle aziende coinvolte fosse pienamente conforme allo standard PCI al momento della violazione”.

Una tendenza preoccupante emersa dal report è relativo all'inadeguatezza delle misure prese per la sicurezza dei dati. I volumi e la tipologia delle violazioni registrate negli ultimi 12 mesi sono la prova che le attuali tecniche di sicurezza non sono in grado di fermare gli hacker e i loro attacchi,  in molti casi nemmeno rallentarli.

Per Simonetti, "La conformità agli standard PCI DSS deve essere considerata come parte integrante di una strategia di sicurezza e gestione del rischio più ampia e globale. Una valutazione PCI DSS può scoprire importanti carenze che devono essere risolte, ma la stessa, tuttavia, non garantisce la protezione dei dati da un cyber attacco."

La nuova edizione del Report si basa su tre anni di dati e comprende i risultati di valutazioni PCI condotte dal team dei PCI Qualified Security Assessor di Verizon, all'interno di realtà Fortune 500 e grandi aziende multinazionali di oltre 30 Paesi. Nel report Verizon analizza nel dettaglio il grado di conformità delle organizzazioni a ciascuno dei 12 requisiti specifici dello standard PCI, per la prima volta, seguendo lo standard 3.0, con un occhio al futuro 3.1.

Il report può essere scaricato al link: http://vz.to/PCIR15X

Aggiungi commento


Codice di sicurezza
Aggiorna

Torna in alto