Verizon Payment Card Industry Compliance Report

Il report di Verizon, primo nel suo genere, individua un collegamento tra le violazioni dei dati e il mancato rispetto dei Payment Card Security Standard

Mentre le violazioni dei dati relativi alle carte di credito continuano ad essere all’ordine del giorno, un nuovo report di Verizon Business evidenzia come sia possibile ridurre notevolmente tali incidenti rispettando gli standard di sicurezza di settore.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Nel “Verizon Payment Card Industry Compliance Report”, uno studio nuovo nel suo genere, l’azienda prende in esame lo stato di conformità con il Payment Card Industry Data Security Standard (PCI DSS), creato nel 2006 per proteggere i dati dei titolari di carta di credito e ridurre le frodi. Lo studio ha rilevato che le aziende che hanno subito violazioni hanno il 50 percento di possibilità in meno di essere PCI compliant e che solo il 22 percento lo era al momento della valutazione iniziale.

Oltre a prendere in esame l’efficacia dello standard PCI DSS, il report identifica i metodi di attacco più comuni e offre consigli alle aziende che vogliono ottenere e mantenere la PCI compliance.

Il compliance report si basa su risultati ottenuti dalle valutazioni PCI DSS effettuate dal team di esperti QSA (Qualified Security Assessors) di Verizon nel 2008 e 2009 e sull’esame di un campione di circa 200 valutazioni. In qualità di QSA, Verizon valuta e controlla la compliance di un’azienda rispetto allo standard PCI DSS, continuamente aggiornato dal PCI Council, l’organismo preposto agli standard di sicurezza PCI e alla conformità.

“Il Verizon Payment Card Industry Compliance Report offre alle organizzazioni un punto di vista nuovo sullo stato della PCI compliance a tutti i livelli e indica nello specifico quelli che sono i requisiti più difficili da rispettare” ha affermato Peter Tippett, Vice President of Technology and Innovation per Verizon Business. “Speriamo che questo studio aiuti le organizzazioni ad avvicinarsi alla PCI compliance in modo più informato ed efficace. In fin dei conti vogliamo la stessa cosa: un minor numero di perdite di dati delle carte di credito e di violazioni.”

Leggi anche:  Kaspersky presenta il suo ecosistema completo di cybersecurity al MWC 2024

Principali risultati

I risultati dimostrano che l’adeguamento ai requisiti PCI contribuisce a ridurre la possibilità di violazioni. Inoltre, per un esame più approfondito, Verizon ha sovrapposto questi dati a quelli relativi ai casi di violazione delle carte di credito riportati nel “Verizon 2010 Data Breach Investigations Report” (DBIR), per poi analizzare i dati congiunti alla ricerca di punti in comune. I principali risultati sono i seguenti:

Solo il 22 percento delle organizzazioni è conforme inizialmente. La maggior parte delle organizzazioni non era conforme ai requisiti PCI al momento dell’Initial Report on Compliance, cioè nel momento in cui i QSA di Verizon hanno fatto una prima valutazione rispetto agli standard. La maggior parte delle organizzazioni completamente conformi erano esperte della procedura o non dovevano rispondere a tutti i requisiti.

La compliance è comunque a portata di mano. Sebbene il 78 percento delle organizzazioni non sia inizialmente conforme, in media viene rispettato l’81 percento delle procedure richieste dallo standard PCI. In effetti i tre quarti delle organizzazioni rispettano almeno il 70 percento delle procedure di test, vale a dire che aumentando leggermente l’impegno hanno buone possibilità di raggiungere la conformità. Solo l’11 percento delle organizzazioni era conforme a meno della metà delle procedure di test al momento della valutazione iniziale.

Le organizzazioni che hanno subito una violazione hanno il 50 percento di possibilità in meno di aver ottenuto o mantenuto la PCI compliance. Al termine di un’indagine forense o di un’attività investigativa, i ricercatori di Verizon valutano la conformità dell’organizzazione con lo standard PCI. Confrontando il dato con le valutazioni PCI ufficiali, gli analisti Verizon hanno stabilito che le organizzazioni che hanno subito una violazione hanno il 50 percento di possibilità in meno di essere conformi agli standard rispetto ai clienti PCI. Questi risultati indicano che la PCI compliance può aiutare a prevenire le intrusioni.

Leggi anche:  Tre nuovi Pop in EMEA: così Sangfor Technologies espande l'impronta globale del SASE

Esiste una correlazione tra le violazioni di dati e le difficoltà che le organizzazioni affrontano per conformarsi ad alcuni requisiti PCI. Dei dodici requisiti che costituiscono lo standard PCI DSS, tre – proteggere gli archivi dati, tracciare e monitorare l’accesso alle risorse di rete e ai dati dei titolari di carte e testare con regolarità i sistemi e le procedure di sicurezza – abbracciano aree che sono più vulnerabili alle intrusioni, secondo il DBIR. Tuttavia questi tre requisiti sono gli stessi che le aziende fanno più fatica a rispettare per raggiungere la PCI compliance.

Lo standard fa riferimento ai comuni metodi di attacco

Mettendo insieme i dati relativi alle valutazioni PCI con le analisi post-violazione, gli analisti di Verizon sono stati in grado di fare una classifica dei principali metodi di attacco utilizzati per compromettere i dati delle carte di credito: malware e azioni di hacker (25%), SQL injection (24 percento) e sfruttamento di credenziali di default o facilmente ricavabili (21 percento).

Il report ha scoperto che i requisiti PCI si riferiscono ai più comuni metodi di attacco utilizzati per rubare i dati dei titolari di carte di credito. In diversi casi esistono livelli multipli di controllo tra gli standard.

“I nostri risultati dimostrano che il rispetto dei requisiti dello standard PCI DSS può aiutare le organizzazioni a scoraggiare, prevenire e rilevare possibili minacce alla sicurezza” ha commentato Tippet.

Raccomandazioni

Le best practice messe in atto dalle organizzazioni totalmente conformi comprendono:

Includere la sicurezza. La sicurezza deve essere prevista nelle procedure aziendali sin dall’inizio e non aggiunta in seguito. Le organizzazioni che rispettano tale prassi normalmente utilizzano meno risorse ottenendo maggior vantaggio dalle attività di compliance.

Leggi anche:  Qualys ottiene dall’Agenzia per la Cybersicurezza Nazionale la certificazione QC2

Non separare compliance e sicurezza. Le organizzazioni che mettono sullo stesso piano compliance e sicurezza tendono ad ottenere con maggior facilità la conformità ai requisiti di sicurezza quali lo standard PCI DSS. Le organizzazioni a norma di solito si avvalgono anche di un team che gestisce compliance e sicurezza, oppure di due squadre che collaborano strettamente tra loro.

Considerare la compliance come un processo continuo e non come un evento occasionale. Le organizzazioni dovrebbero prevedere attività PCI all’interno della scaletta quotidiana di lavoro. I problemi si presentano quando la conformità viene affrontata come progetto a scadenza mensile, trimestrale o annuale.

Controllare i dati da vicino. Lo “Scope creep” – quando le aziende aggiungono attività collaterali rispetto ai requisiti PCI nel tentativo di garantire la conformità – è un problema comune nelle attività di valutazione. Scoprire, tracciare e gestire i dati è essenziale. Più ampio è il campo d’azione degli accertamenti, più costosa e difficile diventa l’esecuzione da parte dell’azienda.