Πρότυπο Ασφάλειας Δεδομένων Βιομηχανίας Κάρτας Πληρωμών (PCI DSS): Η συμμόρφωση των εταιρειών μειώθηκε κατά 28% από το 2016

Πρότυπο Ασφάλειας Δεδομένων Βιομηχανίας Κάρτας Πληρωμών-συμμόρφωση
Η Verizon δήλωσε ότι η συμμόρφωση με το Πρότυπο Ασφάλειας Δεδομένων Βιομηχανίας Κάρτας Πληρωμών (PCI DSS) έχει μειωθεί για τρίτο συνεχόμενο έτος, με τους οργανισμούς να αποτυγχάνουν στον μακροπρόθεσμο σχεδιασμό τους. Το PCI DSS είναι ένα σύνολο κανόνων και κανονισμών που δημιουργήθηκε το 2006 από έναν συνασπισμό των Visa, Mastercard, American Express, Discover και JCB, για τη διαχείριση των προτύπων ασφαλείας και τη βελτίωση της ασφάλειας σε όλη τη διαδικασία συναλλαγής, σε μία προσπάθεια να μειωθούν οι απάτες με πιστωτικές κάρτες.

Ο τεχνολογικός γίγαντας συνέταξε το Verizon Business 2020 Payment Security Report που βασίζεται στα δεδομένα που συγκέντρωσαν οι ειδικοί αξιολογητές ασφαλείας PCI DSS (QSAs) τόσο της ίδιας της εταιρείας όσο και άλλων εταιρειών.

Επιπλέον, η Verizon αποκάλυψε ότι κατά μέσο όρο μόνο το 27,9% των οργανισμών παγκοσμίως συμμορφώνεται πλήρως με το Πρότυπο Ασφάλειας Δεδομένων Βιομηχανίας Κάρτας Πληρωμών, παρουσιάζοντας μείωση κατά 28% από το 2016.

Η έκθεση υπογράμμισε επίσης ότι μόνο το 52% των αξιολογημένων οργανισμών δοκιμάζει επιτυχώς τα συστήματα και τις διαδικασίες ασφαλείας, καθώς και την πρόσβαση στο σύστημα χωρίς παρακολούθηση, ενώ περίπου τα δύο τρίτα παρακολουθούν αποτελεσματικά την πρόσβαση σε κρίσιμα για τις επιχειρήσεις συστήματα. Επιπλέον, μόνο το 71% των χρηματοπιστωτικών ιδρυμάτων διατηρεί βασικούς περιμετρικούς ελέγχους ασφαλείας, πρόσθεσε η Verizon.

Πρότυπο Ασφάλειας Δεδομένων Βιομηχανίας Κάρτας Πληρωμών

Το Πρότυπο Ασφάλειας Δεδομένων Βιομηχανίας Κάρτας Πληρωμών έχει σχεδιαστεί για να παρέχει μια carrot-and-stick προσέγγιση, με στόχο τη βελτίωση της ασφάλειας δεδομένων για τους εμπόρους που επεξεργάζονται πληρωμές με κάρτες. Από τη μία πλευρά προσφέρει ένα πλαίσιο βέλτιστης πρακτικής για να βοηθήσει τις επιχειρήσεις να μετριάσουν τον κίνδυνο παραβίασης δεδομένων, αλλά εάν αυτές δεν συμμορφωθούν και στη συνέχεια υποστούν παραβίαση, θα μπορούσαν να επιβληθούν μεγάλα πρόστιμα.

Ενδεικτικά, πίσω από το 86% των παραβιάσεων δεδομένων που σημειώθηκαν το 2019 κρύβονταν οικονομικά κίνητρα, ενώ στον κλάδο του εμπορίου, το 99% των περιστατικών ασφαλείας που σχετίζονται με την απόκτηση δεδομένων πληρωμής από επιτιθέμενους, σύμφωνα με την πιο πρόσφατη έκθεση της Verizon που αφορά έρευνες για παραβιάσεις δεδομένων.

Ο πρόεδρος της Verizon, Sampath Sowmyanarayan, υποστήριξε ότι πολλές εταιρείες εξακολουθούν να στερούνται πόρων και δέσμευσης για την προώθηση στρατηγικών μακροπρόθεσμης συμμόρφωσης.

Πρότυπο Ασφάλειας Δεδομένων Βιομηχανίας Κάρτας Πληρωμών

Επιπλέον, η πανδημία του COVID-19 έχει απομακρύνει τους καταναλωτές από την παραδοσιακή χρήση μετρητών, σε ανέπαφες μεθόδους πληρωμής με πιστωτικές κάρτες καθώς και κινητές συσκευές. Αυτό έχει δημιουργήσει περισσότερα δεδομένα ηλεκτρονικών πληρωμών, με τους καταναλωτές να εμπιστεύονται τις επιχειρήσεις για την προστασία των πληροφοριών τους. Η ασφάλεια των πληρωμών πρέπει να αποτελεί πάντα προτεραιότητα των εταιρειών που χειρίζονται οποιαδήποτε δεδομένα πληρωμής, καθώς έχουν ευθύνη απέναντι στους πελάτες, τους προμηθευτές και τους καταναλωτές τους.

Η έκθεση ανέφερε ακόμη συγκεκριμένες προκλήσεις με τις οποίες έρχονται αντιμέτωπες οι μικρομεσαίες επιχειρήσεις στην εκτέλεση αυτού που θεωρείται συνήθως ως επαχθής και δαπανηρή διαδικασία συμμόρφωσης με το PCI DSS.

Ο Maxine Holt, ανώτερος διευθυντής έρευνας της Omdia, δήλωσε ότι τα ευρήματα της έκθεσης πρέπει να χρησιμεύσουν ως αφύπνιση των επιχειρήσεων. Πρόσθεσε ακόμη ότι η ευθυγράμμιση της στρατηγικής ασφάλειας με την οργανωτική στρατηγική είναι απαραίτητη για τους οργανισμούς ώστε να διατηρήσουν τη συμμόρφωση, σε αυτήν την περίπτωση με το PCI DSS 3.2.1, για να παρέχουν τα κατάλληλα επίπεδα ασφάλειας πληρωμών. Τέλος, ο Holt επεσήμανε ότι η μακροπρόθεσμη ασφάλεια των δεδομένων και η συμμόρφωση συνδυάζουν τις ευθύνες ορισμένων ρόλων, συμπεριλαμβανομένου του επικεφαλής ασφαλείας πληροφοριών, του επικεφαλής υπευθύνου κινδύνου και του επικεφαλής υπευθύνου συμμόρφωσης.

από secnews.gr

Δημοσίευση σχολίου

0 Σχόλια