Dopo aver documentato i miglioramenti nella compliance al Payment Card Industry Data Security Standard (PCI DSS) nei passati sei anni (2010-2016), il Payment Security Report 2018 di Verizon (PSR) adesso rivela un preoccupante trend al ribasso, secondo il quale le aziende non superano la valutazione della compliance a questi requisiti, e, aspetto forse ancor più grave, non riescono ad applicarla appieno.
I requisiti Payment Card Industry Data Security Standard (PCI DSS) aiutano le aziende che offrono servizi di pagamento tramite carta di credito a proteggere i loro sistemi di pagamento da violazioni e furti di dati dei possessori delle carte di credito.
E’ stato documentato (attraverso i dati del Data Breach Investigations Report di Verizon) che la compliance agli standard PCI DSS aiuta a proteggere i sistemi di pagamento sia dalle violazioni che dal furto dei dati degli intestatari delle carte di credito, ed è per questa ragione che il trend registrato risulta essere allarmante.
I dati raccolti dal team di Verizon PCI DSS Qualified Security Assessors (QSAs) nel 2017 hanno evidenziato che l’adeguamento ai requisiti PCI tra le aziende a livello mondiale è in calo; solo il 52.4% delle organizzazioni, infatti, ha mantenuto pieno rigore nell’adeguamento ai requisiti nel 2017, una percentuale inferiore se paragonata a quella del 2016, di 55.4%.
Sono state evidenziate le differenze di diverse aree regionali, e ciò che è emerso è che il 77.8% delle aziende appartenenti all’area Asia-Pacifico è propenso alla conformità di questi requisiti di sicurezza, a differenza delle aziende presenti in Europa (46.4%) e in America (39.7%). Le ragioni di tali differenze possono derivare da tempi differenti di applicazione delle strategie di compliance in base all’area geografica di appartenenza, dall’approccio culturale nella valutazione di premi e riconoscimenti o dalla maturità dei sistemi IT.
Tra i diversi settori economici, i servizi IT restano i migliori per quanto concerne questo aspetto, con tre quarti delle organizzazioni (77.8%) che raggiungono il pieno stato di adeguamento. I settori del Retail (56.3%) e dei servizi finanziari (47.9%) sono molto più attenti rispetto alle organizzazioni del settore hospitality (38.5%), che hanno mostrato il livello di attuabilità della compliance più basso
Dato che diverse aziende spesso sfruttano gli sforzi di adeguamento ai requisiti PCI DSS per raggiungere gli standard di sicurezza imposti dalle normative sulla protezione dei dati, come il Regolamento Europeo per la protezione dei dati personali (GDPR), il gap esistente tra i vari settori economici che offrono quotidianamente pagamenti elettronici è certamente rilevante.
Di seguito, i nove fattori necessari per controllare efficacia e attuabilità, che sostengono i 12 requisiti chiave degli standard PCI DSS:
Fattore 1- Controllo dell’ambiente
L’attuabilità e l’efficacia dei 12 requisiti chiave dipendono da un Controllo dell’ambiente corretto.
Fattore 2 – Progettazione dei controlli
Un controllo appropriato dell’operatività, necessario per raggiungere gli obiettivi DSS di controllo della sicurezza, dipende da una puntuale Progettazione dei controlli.
Fattore 3 – Rischi associati ai controlli
Senza una cura continua (test di sicurezza, gestione dei rischi, etc.), l’efficacia dei controlli può scemare nel corso del tempo, e infine venire meno. Per mitigare un’eventuale mancata attivazione dei controlli, è imprescindibile una gestione integrata dei rischi associati a questi
Fattore 4 – Solidità dei controlli
I controlli vengono applicati ad ambienti dinamici e caratterizzati da minacce in costante evoluzione. Per questo, devono essere sufficientemente solidi per far fronte a cambiamenti inaspettati, per mantenere funzionalità e utilità verso gli obiettivi (standard di configurazione, controllo degli accessi, hardening dei sistemi, etc.).
Fattore 5 – Resilienza dei controlli
I controlli di sicurezza potrebbero non entrare in azione anche se vengono aggiunti molteplici step per massimizzarne la solidità, dunque la resilienza attraverso il rilevamento proattivo e il recupero tempestivo in caso di mancato funzionamento sono essenziali per l’efficacia e l’attuabilità.
Fattore 6 – Gestione del ciclo di vita dei controlli
Per raggiungere gli obiettivi sopra, è necessario monitorare i controlli e gestirli in modo attivo in tutte le fasi del loro ciclo di vita, a partire dalla loro creazione fino alla disattivazione.
Fattore 7 – Gestione delle performance dei controlli
Definire e comunicare gli standard delle performance per misurare i risultati reali dell’ambiente di controllo ne migliora l’efficacia, promuovendo risultati prevedibili sulla protezione dei dati e sulle attività di compliance, consentendo quindi di individuare tempestivamente un eventuale calo delle performance, e di invertire la tendenza.
Fattore 8 – Valutazione della maturità
Un ambiente di controllo non dovrebbe mai diventare stagnante – al contrario, dovrebbe migliorare costantemente. In quest’ottica, le aziende devono seguire una roadmap, definire un livello di riferimento per i procedimenti, e sviluppare risorse adeguate per monitorarne ottimizzazione e codificazione, come indicatori di quanto i processi di sviluppo siano completi e in grado di migliorarsi costantemente.
Fattore 9 – Autovalutazione
Per raggiungere tutti questi obiettivi è necessaria un’autonomia interna alle aziende – disponibilità di risorse (professionisti, processi e tecnologia), competenze (processi di supporto), know how (skill, conoscenze ed esperienza) e impegno (determinazione nell’applicare in modo coerente gli standard) – in poche parole, capacità di autovalutazione.
Per scaricare il Payment Security Report 2018 di Verizon clicca qui.
