Nel momento in cui i retailer, di ogni tipo e dimensione, sono alle prese con la stagione dello shopping natalizio, Verizon Enterprise Solutions offre alcuni suggerimenti per la sicurezza che dovrebbero essere in cima alla checklist di ogni retailer
«Sappiamo, sulla base dei risultati del “Verizon Data Breach Investigations Report”, che i retailer sono una delle categorie più vulnerabile al crimine informatico e al furto», ha dichiarato Phil Burroughs, Vice Presidente Retail e Hospitality di Verizon Enterprise Solutions. «Tuttavia, è estremamente importante per il settore del commercio al dettaglio ricordare che i criminali informatici non sono solo personaggi cattivi e ‘grinch’ che agiscono dall’esterno e sempre più spesso l’evento si verifica a partire da errori apparentemente innocui e per mancanza di controllo interno».
Mettere in conto eventuali vulnerabilità e applicare alcuni semplici protocolli di sicurezza aiuterà i retailer a proteggere clienti, attività e brand.
Mantenere la conformità PCI-DSS (Payment Card Industry Data Security Standards)
La conformità PCI-DSS richiede di rispettare in modo continuativo quanto previsto dagli standard. Ciò significa verifica quotidiana dei log, monitoraggio settimanale dell’integrità dei file, analisi trimestrale delle vulnerabilità e penetration test annuale. Per continuare ad essere conformi, Verizon consiglia di identificare un responsabile PCI interno così che il rispetto di questi standard diventi parte dell’attività quotidiana di business nel periodo delle festività così come durante tutto il resto dell’anno.
Auto-valutazioni caute,o affidarsi a un esperto autorevole
I top-tier merchant, che processano i volumi più elevati di transazioni con carte di credito, sono autorizzati all’autovalutazione rispetto agli standard PCI. Ma a causa dei numerosi problemi e conflitti di interesse che questo può causare, Verizon raccomanda di affidarsi comunque a una terza parte esperta, imparziale e credibile che certifichi tale valutazione o effettui direttamente i test necessari.
Prepararsi a PCI-DSS 3.0
Anche se il 2014 è considerato un anno di transizione per l’implementazione, il PCI Security Standards Council ha recentemente rilasciato nuove linee guida; in ambito retail, per garantire la sicurezza dell’intera organizzazione, non sempre è possibile attendere che le scadenze previste dalla compliance entrino in vigore.
Avvalersi esclusivamente di vendor di servizi di sicurezza esperti
Il Verizon Data Breach Investigations Report ha rivelato che le piccole imprese e i franchisee di grandi catene sono i più vulnerabili al cybercrimine. Se un vendor esterno gestisce i sistemi POS del retailer, quest’ultimo dovrebbe chiedere conferma al vendor che siano in atto le misure necessarie per la conformità PCI.
Educare i dipendenti affinché riconoscano le violazioni alla sicurezza e aiutino a mantenere attive le misure di protezione
Oltre a designare un responsabile PCI interno per garantire l’adesione agli standard di sicurezza PCI, la sensibilizzazione dei dipendenti è essenziale per riconoscere i segnali di una violazione e verificare il funzionamento delle misure di prevenzione.
Nell’era del retail omni-channel occorre accertarsi che i canali online e mobili siano sicuri
Proteggere le risorse Web esposte verso l’esterno, ottime per attirare clienti ma nel contempo veri e propri magneti per richiamare cyber criminali. Proteggere i mobile asset nei punti vendita mediante la gestione di dispositivi mobili in grado di approvare l’accesso ai dati aziendali da parte dei dipendenti autorizzati, crittografare le informazioni, proteggere dai virus, bloccare e cancellare da remoto i dati corporate sui dispositivi.
Cambiare spesso le password amministrative in tutti i sistemi POS
Gli hacker sono costantemente alla ricerca in Internet di password facilmente indovinabili; evitare quindi di usare i sistemi POS per navigare sul Web.
Implementare un firewall o una ACL (Access Control List) sui servizi di accesso remoto e amministrazione
Se gli hacker non possono raggiungere il sistema di un retailer, non potranno sottrarre nulla con facilità.