Un nuovo Report pubblicato da Verizon ha evidenziato che troppe aziende, tra quelle che hanno completato gli assessment annuali richiesti dal Payment Card Industry (PCI) Data Security Standard (DSS), hanno difficoltà nell’essere conformi su base continuativa, risultando con ciò più esposte ad un aumento del rischio di violazioni dei dati, oltre a possibili perdite finanziarie e danni alla reputazione.
“Continuiamo a osservare molte aziende che considerano la conformità PCI come un singolo evento che accade una volta l’anno, non tenendo conto del fatto che la conformità deve essere invece oggetto di attenzione 365 giorni l’anno”, ha dichiarato Rodolphe Simonetti, Managing Director, PCI Practice di Verizon Enterprise Solutions.
Secondo il Report “Verizon 2014 PCI Compliance” diffuso oggi dalla società americana, le transazioni con carte di pagamento rimangono uno degli obiettivi principali degli hacker, con una frequenza degli episodi di violazione dei dati che appare in crescita.
“Una conformità inferiore al 100% rappresenta oggi un problema per le aziende”, continua Simonetti. “Abbiamo visto in infinite occasioni come la mancata conformità renda un’azienda vulnerabile al furto dei dati delle carte di credito, fatto che può costare potenzialmente centinaia di milioni di dollari una volta calcolati tutti i danni, senza parlare della perdita di fiducia da parte dei consumatori e dell’impatto sulla reputazione del brand. Le aziende devono pensare nuovamente a come mantenere un ambiente PCI-compliant, sia dedicando più risorse sia collaborando con un provider di servizi di sicurezza gestiti”.
PCI DSS: di cosa stiamo parlando?
PCI è una serie di standard creata e mantenuta dal PCI Security Standards Council (SSC), che rappresenta i maggiori schemi internazionali di carte di pagamento, per verificare che commercianti e fornitori di servizi proteggano adeguatamente i dati dei titolari. Gli standard riguardano qualsiasi carta (debito, credito, prepagata, commerciale) che veicoli il logo di una delle compagnie membro di PCI: Express, Discover Financial Services, JCB International, MasterCard, Visa Europe e Visa Inc.
Sebbene gli standard PCI non siano considerabili alla stessa stregua di una normativa (tranne in un paio di stati americani) e la non conformità non costituisca – di fatto – un’infrazione sanzionabile, il rispetto delle specifiche è richiesto dagli schemi internazionali. Le aziende che non li rispettano sono suscettibili di ottenere condizioni commerciali meno favorevoli (in alcuni casi può anche essere rifiutato il servizio di acquiring) e laddove occorresse un episodio di violazione dei dati e l’azienda fosse non conforme agli standard, la probabilità che ad essa si applichino delle penali è molto alta.
Il PCI Data Security Standard (DSS) 2.0, su cui il rapporto di Verizon si concentra, è rappresentato da un insieme di 6 obiettivi – ripartiti in 12 requisiti e 289 controlli. L’ambito di applicazione è molto vasto, coprendo problematiche come la crittografia dei dati memorizzati, la valutazione di vulnerabilità e la configurazione dei controlli di accesso.
Le specifiche offrono ai commercianti una buona base per un’efficace protezione dei dati di pagamento dei propri clienti.
Nel corso del tempo gli standard PCI sicurezza sono stati arricchiti da un numero sempre maggiore di ulteriori schemi di riferimento, note orientative, criteri di valutazione ed altre norme pubblicate dal PCI SSC. Questi documenti sono stati pensati per essere utilizzati sia dalle organizzazioni nei loro percorsi di conformità sia da assessor interni e/o indipendenti, che, annualmente, valutano il rispetto delle aziende alle specifiche.
I requisiti presi in considerazione dal report e le valutazioni su cui si basano le analisi
Basato sui dati raccolti nel corso di centinaia di valutazioni PCI DSS condotte dal team dei PCI Qualified Security Assessor di Verizon dal 2011 al 2013 ed effettuate su casistiche reali, il Report esamina dettagliatamente il grado di conformità delle organizzazioni a ciascuno dei 12 requisiti specifici dello standard PCI, offrendo suggerimenti che possono essere adottati per ottenere e mantenere la conformità. “Le attività legate alla conformità dovrebbero essere pianificate, integrate con le più ampie iniziative di governance, sicurezza e conformità, e automatizzate il più possibile in modo da aiutare ad assicurarne la sostenibilità e la convenienza economica”, rileva Simonetti.
Un trend positivo
La conformità iniziale delle aziende agli standard PCI dimostra qualche miglioramento, rivela il rapporto. Nel 2013, più dell’82% delle aziende si è palesato conforme ad almeno l’80% degli standard PCI al momento della valutazione annuale, contro il 32% del 2012. Le differenze a livello regionale dipendono essenzialmente dalle diverse normative, dai differenti requisiti legali e dai particolari livelli di adozione. La regione Asia-Pacifico ha conquistato la prima posizione (75%), seguita dagli Stati Uniti con il 56% e dall’Europa con il 31%.
Le aree in cui le aziende evidenziano più difficoltà nel conseguimento della compliance includono: test di sicurezza (23,8%), monitoraggio della sicurezza e capacità di rilevare e reagire efficacemente alle compromissioni dei dati (17%), e protezione dei dati sensibili memorizzati (55,6%).
