Verizon: quasi metà delle carte di credito a rischio sicurezza
Dato che gli attacchi informatici sono in costante aumento, la sicurezza delle carte di credito è un argomento sempre più sentito, sia dalle aziende che dai clienti. I requisiti di sicurezza dei dati per il settore carte di credito (Payment Card Industry Data Security Standard, PCI DSS) sono stati introdotti come supporto alle aziende che usufruiscono di carte di credito, per proteggere i propri sistemi di pagamento dal rischio di violazioni e furto dei dati dei titolari di queste carte.
I dati del Payment Security Report 2017 di Verizon (2017 PSR) svelano che il rispetto di questi criteri da parte delle organizzazioni e la loro capacità di difendersi dagli attacchi hacker sono effettivamente correlati. Tutti i casi di violazione di dati di una carta di credito su cui Verizon ha indagato erano legati alla mancata applicazione di questi requisiti al momento dell’attacco, e hanno dimostrato anzi una conformità incompleta per 10 dei 12 requisiti PCI DSS basilari.
In generale, la conformità ai requisiti PCI da parte delle aziende, a livello mondiale, è aumentata. Il 55,4% delle organizzazioni prese in considerazione da Verizon nel 2016 ha infatti superato questa verifica provvisoria. Ciò significa però che quasi la metà dei retailer, dei ristoratori, degli hotel e molte altre attività che si basano su pagamenti con carta di credito sono ancora in difficoltà nel rispettare questi requisiti minimi di sicurezza di anno in anno.
Secondo il report, il settore dei servizi IT, tra tutti i settori chiave analizzati, è quello che ha raggiunto il livello più alto e completo di conformità a questi requisiti. A livello globale, più della metà (61.3%) delle organizzazioni IT, in occasione della verifica provvisoria del 2016, ha raggiunto un’adesione completa ai criteri, seguito dal 59.1% delle organizzazioni dei servizi finanziari (tra cui le compagnie assicurative), del retail (50%) e del settore hospitality (42.9%).
Il report suggerisce infine cinque linee guida principali per la gestione del ciclo di vita della sicurezza:
Consolidare per una gestione più semplice
Non sempre aumentare i controlli di sicurezza è la risposta giusta. Le organizzazioni dovrebbero perciò riuscire a utilizzare il PCI DSS per consolidare la sicurezza, semplificandone, in generale, la gestione.
Investire nello sviluppo del know-how
Le organizzazioni dovrebbero investire nelle risorse umane per sviluppare e mantenere le conoscenze su come migliorare, monitorare e misurare l’efficacia dei controlli di sicurezza già in atto.
Adottare una strategia equilibrata
Le aziende devono basarsi su un ambiente di controllo interno che sia solido e resiliente al tempo spesso, se vogliono restare in linea con i requisiti di sicurezza vigenti.
Automatizzare il più possibile
Applicare il flusso di lavoro della protezione dei dati e l’automazione può essere un grande vantaggio in termini di gestione della sicurezza – ma ogni automazione deve essere ispezionata frequentemente.
Progettare, applicare e gestire l’ambiente dei controlli di sicurezza interni
Le performance di tutti i controlli di sicurezza sono interconnesse. Se a monte si verifica una criticità, si ripercuoterà sul rendimento dei controlli di sicurezza a valle. E’ quindi essenziale capire questo aspetto, per acquisire e mantenere un programma di protezione dei dati efficace e sostenibile.