Troppe aziende tra quelle che hanno completato gli assessment annuali richiesti dal Payment Card Industry, Data Security Standard, lo standard elaborato con lo scopo di uniformare le modalità di gestione della sicurezza dei dati delle carte di credito da parte del consorzio PCI creato tra le altre, da American Express e Visa International, non rispettano la conformità su base continuativa, risultando così più esposte a un aumento del rischio di violazioni dei dati, perdite finanziarie e danni alla reputazione. Questo il contenuto di un nuovo report Verizon, il “Verizon 2014 PCI Compliance Report” nel quale si afferma che le transazioni con carte di pagamento rimangono uno degli obiettivi principali degli hacker, con una frequenza degli episodi di violazione dei dati che appare in crescita.
Secondo il Report, nella maggior parte dei casi, le violazioni dei dati non derivano da problemi legati alle tecnologie di sicurezza o alla non conformità allo standard PCI DSS, bensì sono causati dalla mancata implementazione di misure di sicurezza e compliance appropriate. “Continuiamo a osservare molte aziende che considerano la conformità PCI come un singolo evento che accade una volta l’anno, non tenendo conto del fatto che la conformità deve essere invece oggetto di attenzione 365 giorni l’anno“, ha dichiarato Rodolphe Simonetti, Managing Director, PCI Practice di Verizon Enterprise Solutions.
Tuttavia, il Report contiene anche buone notizie: la conformità iniziale delle aziende agli standard PCI dimostra qualche miglioramento. Nel 2013, più dell’82% delle aziende si è rivelato conforme ad almeno l’80% degli standard PCI al momento della valutazione annuale, contro il 32% del 2012.
Le differenze a livello regionale sono dovute alle diverse normative che impongono la comunicazione di eventuali violazioni, dai differenti requisiti legali e dai particolari livelli di adozione. La regione Asia-Pacifico ha conquistato la prima posizione (75%), seguita dagli Stati Uniti con il 56% e dall’Europa con il 31% delle aziende conformi ad almeno l’80% delle specifiche PCI.
Le aree in cui le aziende registrano maggiori difficoltà nel conseguimento della conformità iniziale includono: test di sicurezza (23,8%), monitoraggio della sicurezza e capacità di rilevare e reagire efficacemente alle compromissioni dei dati (17%), e protezione dei dati sensibili memorizzati (55,6%).
“Una conformità inferiore al 100% rappresenta oggi un problema per le aziende”, ha commentato Simonetti. “Abbiamo visto in infinite occasioni come la mancata conformità renda un’azienda vulnerabile al furto dei dati delle carte di credito, fatto che può costare potenzialmente centinaia di milioni di dollari una volta calcolati tutti i danni, senza parlare della perdita di fiducia da parte dei consumatori e dell’impatto sulla reputazione del brand. Le aziende devono pensare nuovamente a come mantenere un ambiente PCI-compliant, sia dedicando più risorse sia collaborando con un provider di servizi di sicurezza gestiti”.
Facebook Comments