Troppe aziende non mantengono gli standard di sicurezza PCI

Un nuovo Report di Verizon rivela che la maggior parte delle aziende che accettano carte di pagamento non riescono a mantenere gli standard di sicurezza PCI. La mancata conformità comporta un aumento del rischio di violazioni, perdite finanziarie e danni alla reputazione

Un nuovo Report pubblicato da Verizon ha evidenziato che troppe aziende tra quelle che hanno completato gli assessment annuali richiesti dal Payment Card Industry (PCI) Data Security Standard (DSS) non rispettano la conformità su base continuativa, risultando così più esposte a un aumento del rischio di violazioni dei dati, perdite finanziarie e danni alla reputazione.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Il “Verizon 2014 PCI Compliance Report” afferma che le transazioni con carte di pagamento rimangono uno degli obiettivi principali degli hacker, con una frequenza degli episodi di violazione dei dati che appare in crescita. Il Nilson Report stima che nel solo 2012 le frodi effettuate con carte di credito siano ammontate a oltre 11 miliardi di dollari a livello globale.

Secondo il Report, nella maggior parte dei casi, le violazioni dei dati non derivano da problemi legati alle tecnologie di sicurezza o alla non conformità allo standard PCI DSS, bensì sono causati dalla mancata implementazione di misure di sicurezza e compliance appropriate.

“Continuiamo a osservare molte aziende che considerano la conformità PCI come un singolo evento che accade una volta l’anno, non tenendo conto del fatto che la conformità deve essere invece oggetto di attenzione 365 giorni l’anno”, ha dichiarato Rodolphe Simonetti, Managing Director, PCI Practice di Verizon Enterprise Solutions.

Tuttavia, il Report contiene anche buone notizie: la conformità iniziale delle aziende agli standard PCI dimostra qualche miglioramento. Nel 2013, più dell’82% delle aziende si è rivelato conforme ad almeno l’80% degli standard PCI al momento della valutazione annuale, contro il 32% del 2012.

Leggi anche:  Trend Micro scopre il 60% delle vulnerabilità a livello globale

Le differenze a livello regionale sono dovute alle diverse normative che impongono la comunicazione di eventuali violazioni, dai differenti requisiti legali e dai particolari livelli di adozione. La regione Asia-Pacifico ha conquistato la prima posizione (75%), seguita dagli Stati Uniti con il 56% e dall’Europa con il 31% delle aziende conformi ad almeno l’80% delle specifiche PCI.

Le aree in cui le aziende registrano maggiori difficoltà nel conseguimento della conformità iniziale includono: test di sicurezza (23,8%), monitoraggio della sicurezza e capacità di rilevare e reagire efficacemente alle compromissioni dei dati (17%), e protezione dei dati sensibili memorizzati (55,6%).

“Una conformità inferiore al 100% rappresenta oggi un problema per le aziende”, ha commentato Simonetti. “Abbiamo visto in infinite occasioni come la mancata conformità renda un’azienda vulnerabile al furto dei dati delle carte di credito, fatto che può costare potenzialmente centinaia di milioni di dollari una volta calcolati tutti i danni, senza parlare della perdita di fiducia da parte dei consumatori e dell’impatto sulla reputazione del brand. Le aziende devono pensare nuovamente a come mantenere un ambiente PCI-compliant, sia dedicando più risorse sia collaborando con un provider di servizi di sicurezza gestiti”.