Il Verizon 2015 PCI Report suggerisce di prestare attenzione in modo costante alla conformità PCI; la non conformità è legata alle violazioni dei dati
Secondo quanto riportato dal 2015 PCI Compliance Report di Verizon, quasi l’80% delle aziende non supera la verifica intermedia della conformità allo standard PCI, restando così vulnerabile ai cyberattacchi. Se si considera che più dei due terzi degli acquisti sono effettuati con carte di pagamento e che le transazioni, nel 2015, dovrebbero superare i 20 trilioni di dollari, la sicurezza diventa quindi la priorità principale per tutte quelle società che elaborano transazioni con carte di credito.
Giunto alla sua quarta edizione, il Verizon 2015 PCI Compliance Report esamina lo stato della conformità al Payment Card Industry Data Security Standard (PCI DSS) e la sua correlazione con le violazioni dei dati di aziende di tutto il mondo operanti, tra gli altri, nei settori dei servizi finanziari, retail, travel e hospitality.
Lo studio di Verizon sulla cybersecurity ha evidenziato, in modo coerente, che dal 2009 le aziende che hanno subito una violazione dei dati, hanno registrato un livello di compliance più bassa del normale su un certo numero di controlli PCI DSS.
Riducendo il rischio di violazioni, le aziende sono in grado di gestire al meglio il brand, di essere meritevoli di fiducia agli occhi dei consumatori e di evitare, potenzialmente, alti costi. Infatti, il 69% dei consumatori è meno disposto ad avere a che fare con un’azienda i cui dati siano stati violati, rendendo pertanto essenziale il rispetto degli standard Payment Card Industry (PCI) DSS.
“L’attuale panorama della sicurezza informatica è in continuo cambiamento”, ha affermato Rodolphe Simonetti, Managing Director, PCI Practice di Verizon Enterprise Solutions. “Essere conformi in un particolare momento non è sufficiente per proteggere i dati. Il segreto è fare in modo che la conformità sia sostenibile. Deve essere parte integrante delle attività quotidiane all’interno di una strategia di sicurezza più ampia.”
Principali risultati del 2015 PCI Report
I dati di quest’anno indicano che solo il 29% delle aziende è ancora totalmente conforme agli standard DSS a meno di un anno dalla verifica formale. Sebbene la compliance annuale e i controlli continui dello standard restino bassi, il report di quest’anno contiene comunque qualche buona notizia.
Il numero di aziende conformi durante il controllo provvisorio del 2014 è quasi raddoppiato rispetto al 2013.
Secondo Simonetti, “Le tre aree chiave nelle quali le aziende non superano la conformità riguardano: i test regolari dei sistemi, i sistemi di mantenimento della sicurezza e la protezione dei dati memorizzati. Di tutte le violazioni analizzate, i dati raccolti da Verizon mostrano chiaramente come nessuna delle aziende coinvolte fosse pienamente conforme allo standard PCI al momento della violazione”.
Ulteriori risultati evidenziati nel report:
• Tra il 2013 e il 2014 la conformità è aumentata per 11 dei 12 requisiti PCI DSS. In altre parole, il 60% delle aziende analizzate nel 2014 sono risultate conformi ad ogni requisito.
• L’incremento medio alla conformità è stato di 18 punti percentuali.
• L’incremento maggiore lo si è registrato nell’autenticazione degli accessi (Requisito n.8).
• L’unica area in cui la conformità è diminuita riguarda i test dei sistemi di sicurezza (Requisito n. 11), passata dal 40% al 33%.
Un’altra tendenza preoccupante emersa dal report di quest’anno è che la sicurezza dei dati è ancora inadeguata, ha proseguito Simonetti. I volumi e la tipologia delle violazioni registrate negli ultimi 12 mesi sono la prova che le attuali tecniche di sicurezza non sono in grado di fermare gli hacker e i loro attacchi, in molti casi nemmeno rallentarli. La conformità agli standard PCI DSS deve essere considerata come parte integrante di una strategia di sicurezza e gestione del rischio più ampia e globale. Una valutazione PCI DSS può scoprire importanti carenze che devono essere risolte, ma la stessa, tuttavia, non garantisce la protezione dei dati da un cyber attacco.
Il Verizon Enterprise Solutions 2015 PCI Compliance Report
La nuova edizione del Report si basa su tre anni di dati e comprende i risultati di valutazioni PCI condotte dal team dei PCI Qualified Security Assessor di Verizon, all’interno di realtà Fortune 500 e grandi aziende multinazionali di oltre 30 Paesi.
Nel report Verizon analizza nel dettaglio il grado di conformità delle organizzazioni a ciascuno dei 12 requisiti specifici dello standard PCI, per la prima volta, seguendo lo standard 3.0, con un occhio al futuro 3.1.
Il report del 2015 indica nel dettaglio anche come e dove le aziende perdono la conformità dopo averla ottenuta, e comprende, inoltre, alcuni suggerimenti su come rendere più facile la compliance, con consigli pratici per quelle aziende che desiderano continuare a essere conformi agli standard PCI.
Come la serie dei Verizon Data Breach Investigations Report, anche il PCI Compliance Report si basa su casistiche reali ed è l’unico report del suo genere nel settore. Questa serie di report analizza i dati relativi a valutazioni PCI DSS con un focus specifico sui settori servizi finanziari (30%), retail (26%) e hospitality (15%) in Nordamerica (55%), Europa (23%) e Asia-Pacifico (22%).