Menu

Carte di Credito: conformità ancora problematica

Un Report di Verizon segnala i rischi per i dati di milioni di consumatori

Per il secondo anno consecutivo, il report di Verizon evidenzia che troppe aziende hanno difficoltà a conformarsi agli standard di sicurezza delle carte di pagamento, mettendo così a rischio le informazioni confidenziali dei consumatori.

Secondo il Verizon Payment Card Industry Compliance Report, la maggior parte delle aziende che accetta carte di credito o debito, o entrambe, continua a lottare per raggiungere e mantenere la conformità con il Payment Card Industry Data Security Standard (PCI DSS). Come risultato, queste aziende vanno incontro a rischi maggiori di perdita delle informazioni sensibili dei clienti e di rimanere vittime di frodi legate alle carte di credito.

Le aziende non riescono a mantenere la conformità nonostante questo comporti pesanti sanzioni, incluse multe e aumenti delle spese di transazione da parte dei circuiti di carte di credito. Le aziende inoltre si trovano ora ad affrontare le pressioni di partner e clienti affinché dimostrino una conformità continuativa.

Oltre ad analizzare lo stato generale di conformità con il PCI DSS, il report esamina la conformità delle aziende rispetto ai 12 requisiti specifici PCI e fornisce alcuni suggerimenti che le società possono seguire come aiuto per raggiungere e mantenere la conformità.

“Speravamo di vedere una crescita nel numero delle aziende conformi agli standard PCI, poiché crediamo che, in definitiva, la conformità migliori le condizioni di sicurezza delle aziende e diminuisca quindi la probabilità del numero di violazioni” ha dichiarato Wade Baker, Director of Risk Intelligence di Verizon. “Esaminando questo report le aziende possono valutare dove è meglio focalizzare i propri sforzi e quali consigli seguire per avere un aiuto ad accelerare la PCI compliance. Il nostro obbiettivo finale è quello di avere un ambiente sicuro per le carte di credito per entrambi i consumatori e le aziende.”

I principali risultati del PCI Report basato su assessment di PCI e reali violazioni dei dati
Il report è basato sui risultati di oltre 100 assessment PCI DSS condotte nel 2010 dal team PCI Qualified Security Assessors di Verizon, e sui dati raccolti dal gruppo Investigative Response di Verizon indagando reali violazioni dei dati delle carte di pagamento. Inoltre, il Risk Intelligence team di Verizon ha confrontato i risultati degli assessment con i casi di violazione dei dati del 2011 Verizon Data Breach Investigations Report, ottenendo una serie di dati più completa e strutturata.

Le valutazioni includono dati provenienti da aziende americane, europee e asiatiche, rappresentando per la prima volta la natura globale dello standard PCI.

Tra i risultati emersi dal 2011 Verizon Payment Card Industry Compliance Report rientrano:
> La situazione della compliance non è peggiorata né migliorata, ed è ancora “deludente”. Solo il 21% delle aziende sono risultate conformi durante l’audit iniziale. Il report registra che la difficoltà nell’ottenere la conformità insieme alla troppa sicurezza nelle proprie strutture, la compiacenza e la necessità di focalizzarsi su altre tipologie di conformità e problemi relativi alla sicurezza sono tra i principali motivi di una non conformità PCI così estesa.
> La mancanza di conformità PCI continua ad essere legata alle violazioni di dati. Il report dimostra anche quest’anno che le organizzazioni che hanno subito violazioni molto spesso non sono PCI compliant e hanno maggiori probabilità di essere colpite da furti di identità e truffe.

Le aziende hanno difficoltà con i principali requisiti PCI. Le società hanno riscontrato difficoltà soprattutto con i requisiti 3 (protezione dei dati dei titolari delle carte archiviati), 10 (tracciamento e monitoraggio dell’accesso), 11 (testare regolarmente sistemi e procedure), e 12 (mantenimento delle policy di sicurezza), requisiti tutti direttamente collegati alla protezione dei dati dei titolari delle carte.

Non dare priorità agli sforzi per raggiungere la compliance spesso significa ignorare minacce ad alto rischio per la sicurezza. Lanciato nel 2009, il Prioritized Approach è stato creato per aiutare le società a identificare e ridurre i rischi di furto dei dati dei titolari di carte e a facilitare il processo annuale PCI.

Il report ha inoltre evidenziato che le aziende invece di utilizzare un approccio alla PCI compliance basato sul rischio, fanno affidamento agli standard PCI DSS come guida. Il risultato è che molte società ignorano le minacce alla sicurezza con rischi altissimi e potenziali impatti altamente negativi.
Lo standard PCI offre protezione contro i più comuni metodi di attacco. I malware e le attività di hacking sono i metodi predominanti utilizzati per ottenere l’accesso ai dati dei possessori di carte. La sovrapposizione di molti dei requisiti PCI ha lo scopo di proteggere da questi metodi di attacco.

Raccomandazioni per raggiungere la conformità

Sulla base di un’analisi approfondita Verizon offre le seguenti raccomandazioni per aiutare le aziende a raggiungere gli obiettivi di conformità PCI:

1. Considerare la compliance come un processo giornaliero e costante. La compliance richiede continua aderenza allo standard. Questo significa una revisione giornaliera dei log, un monitoraggio settimanale dell’integrità dei file, una scansione trimestrale delle vulnerabilità e un penetration test annuale. Per ottenere tutto questo, Verizon raccomanda la presenza di un PCI “champion” interno all’azienda che renda la compliance un’attività giornaliera di business.

2. Autovalutazioni caute – o assenti. Ai merchant di livello 1 e 2 - che processano il più alto livello di transazioni di carte - è permesso autovalutarsi rispetto allo standard. A causa dei numerosi problemi e conflitti di interesse che ciò può comportare, Verizon raccomanda la presenza di una terza parte obiettiva in grado di legittimare la validità del giudizio o di svolgere i test.

3. Prepararsi a un aumento delle difficoltà. Nell’ottobre 2010, il PCI Standards Council ha annunciato la versione 2.0 del PCI DSS. Questa versione richiede un executive summary più rigoroso e la regolarizzazione della metodologia per validare i giudizi. Le società, molte delle quali stanno avendo problemi con gli attuali standard di compliance, devono quindi essere subito pronte per la nuova versione.

Ulteriori risultati e suggerimenti sono disponibili all’interno del report completo, scaricabile al link: http://www.verizonbusiness.com/go/2011pci/us

Aggiungi commento


Codice di sicurezza
Aggiorna

Torna in alto

I cookie rendono più facile per noi fornirti i nostri servizi. Con l'utilizzo dei nostri servizi ci autorizzi a utilizzare i cookie.
Maggiori informazioni Ok