Solo 1 azienda su 4 protegge i dati secondo il PCI DSS

Solo 1 azienda su 4 protegge i dati secondo il PCI DSS

Solo 1 azienda su 4 protegge i dati secondo il PCI DSS

Le minacce cyber nei confronti dei dati di pagamento continuano ad aumentare così come i rischi di frode in questo ambito. Secondo il Report DBIR 2020 di Verizon, 9 violazioni su 10 hanno finalità economiche e se si considera ad esempio il settore della vendita a dettaglio, il 99% degli incidenti di sicurezza mira all’acquisizione di dati di pagamento. Una violazione della sicurezza per i dati dei pagamenti può avere un impatto temporaneo o duraturo su molteplici aspetti, influenzando notevolmente il business di un’azienda, mettendo in crisi le vendite, oltre che la reputazione e il valore delle azioni. Ciò nonostante, sono sempre meno le aziende con una comprovata capacità di sostenere la conformità al PCI DSS per quanto riguarda i dati sui pagamenti.

È questa la conclusione del Payment Security Report 2020 appena pubblicato da Verizon Business, secondo cui le organizzazioni globali “continuano a mettere a rischio i dati delle carte di credito dei propri clienti” nei pagamenti elettronici e ciò accade “a causa della mancanza di una strategia a lungo termine per la sicurezza dei pagamenti e della difficoltà di esecuzione”.

L’analisi ha valutato le aziende in base alla conformità allo standard PCI DSS, e il risultato è che solo il 27,9% delle organizzazioni aveva raggiunto il 100% di conformità. Si conferma così un trend di costante peggioramento, un calo di 8,8 punti percentuali rispetto all’anno precedente, in quanto l’analoga analisi dell’anno scorso aveva rilevato che nel 2018 il 36,7% delle organizzazioni aveva la piena conformità PCI DSS.

La piena conformità PCI DSS si ottiene soddisfacendo questi 12 requisiti:

  1. Protezione del sistema con i firewall
  2. Configurazione di password e impostazioni
  3. Protezione dei dati archiviati per i titolari di carta
  4. Crittografia della trasmissione dei dati dei titolari di carta su reti pubbliche aperte
  5. Utilizzo di software antivirus aggiornato
  6. Gestione regolare delle patch ai sistemi
  7. Limiti l’accesso ai dati dei titolari di carta secondo esigenze aziendali
  8. Assegnazione di un ID univoco a ogni persona con accesso al computer
  9. Limiti all’accesso fisico al posto di lavoro e ai dati dei titolari di carta
  10. Registrazione e gestione dei registri
  11. Scansioni di vulnerabilità e test di penetrazione
  12. Documentazione, security policy e risk assessment.

La figura successiva mostra i risultati della Full Compliance al PCI DSS negli ultimi 5 anni: si osservano così alcune best practice.

  • Il requisito 7 (Accessi ristretti ai dati) è quello che mostra le performance migliori in termini di compliance
  • A seguire, il requisito 5 (protezione antimalware), ha un buon risultato, anche se con una tendenza al peggioramento.

PCI DSS

Dove invece si osservano i maggiori problemi è per

  • Requisito 11 (Test security systems and processes)
  • Requisito 12 (Security policies and management)
  • Requisito 6 (Develop and maintain secure systems).

Altri risultati che emergono da report di Verizon sono:

  • Le organizzazioni hanno difficoltà a mantenere risorse qualificate come i Chief Information Security Officer (CISO);
  • Solo il 51,9% effettua test come VA/PT su questi dati (un dato che tra l’altro peggiora negli anni, era il 68,8% 5 anni fa);
  • La protezione perimetrale (che per il totale delle aziende è svolta secondo lo standard PCI DSS dal 68,8% delle aziende) nel mondo finanziario sale al 70,6% degli istituti.

Sempre secondo l’analisi, i problemi all’origine della cattiva compliance sarebbero 7:

  1. Leadership inadeguata (ad esempio linee di reporting errate, mancanza di autorità per l’esecuzione, mancanza di struttura di guida, mancanza di focalizzazione, errate priorità e obiettivi, processi troppo tecnici o tattici, mancanza di continuità nelle responsabilità assegnate)
  2. Non riuscire a garantire il supporto strategico (i CISO dovrebbero migliorare nel Reporting al CDA per spiegare come sicurezza e conformità dei dati genino valore per l’organizzazione)
  3. Ridotta disponibilità di risorse (mancanza di persone con competenze adeguate, soprattutto per mancanza di fondi, spesi piuttosto per aggiornare tecnologie obsolete)
  4. Mancanza di un solido design strategico (incapacità di designare responsabilità, autorità e capacità da eseguire in tutta l’organizzazione)
  5. Insufficiente capacità di esecuzione della strategia (servirebbe aver definito un modello operativo di sicurezza, una gestione e supervisione adeguate, un monitoraggio dell’esecuzione della strategia)
  6. Scarsa maturità del processo, assenza di un miglioramento continuo
  7. Vincoli di comunicazione e culturali: una strategia di sicurezza e conformità dei dati fallisce se la comunicazione tra le parti interessate non viene rafforzata.

In aggiunta, le aziende dovrebbero considerare maggiormente quelli che sono i principi generali di una buona Data Protection, così come si sono oramai consolidati nel settore, grazie anche agli sforzi a livello di standard e norme (basti pensare all’enorme impatto che ha avuto in questo senso il GDPR).

La data security è sicuramente un problema complesso, ma che può essere risolto, se si individuano tutti gli snodi e i punti critici nelle relazioni tra le diverse parti che servono a costruire e a mantenere nel tempo un programma di data security efficace.

Emergono in conclusione una serie di principi generali (di buon senso) da tener presenti in questo percorso:

PCI DSS

  1. Il successo di un programma di Data Security dipende dal disegno generale, non dalla fortuna
  2. I controlli devono essere efficaci, non solo “presenti”
  3. I controlli non funzionano isolati: devono avere dipendenze e interagire con sistemi di controllo più ampi
  4. I controlli devono essere sostenibili, quindi concepiti in un sistema che si sostiene
  5. Serve individuare e riportare gli indicatori di performance operativa
  6. Servono input, attività e output che siano consistenti e predicibili, in modo da avere un monitoraggio in tempi conformi, una prevenzione efficace, la possibilità di correggere eventuali errori di performance
  7. Serve anche un processo di miglioramento continuativo, in modo da poter arrivare a raggiungere un modello target adeguato e maturo.

Accedi al Report completo Payment Security Report 2020.