Protezione dati e standard Pci Dss, meglio allinearsi

Un report di Verizon evidenzia che i requisiti di conformità Payment Card Security Standard sono una sfida che è bene intraprendere

Un nuovo report di Verizon Business evidenzia come sia possibile ridurre notevolmente le violazioni dei dati relativi alle carte di credito rispettando gli standard di sicurezza di settore.

Nel “Verizon Payment Card Industry Compliance Report” l'azienda prende in esame lo stato di conformità con il Payment Card Industry Data Security Standard (Pci Dss), creato nel 2006 per proteggere i dati dei titolari di carta di credito e ridurre le frodi.

Lo studio ha rilevato che le aziende che hanno subito violazioni hanno il 50% di possibilità in meno di essere Pci compliant e che solo il 22% lo era al momento della valutazione iniziale.

Oltre a prendere in esame l'efficacia dello standard Pci Dss, il report identifica i metodi di attacco più comuni e offre consigli alle aziende che vogliono ottenere e mantenere la Pci compliance.

Il compliance report si basa su risultati ottenuti dalle valutazioni Pci Dss effettuate dal team di esperti Qsa(Qualified Security Assessors) di Verizon nel 2008 e 2009 e sull'esame di un campione di circa 200 valutazioni.

I risultati dimostrano che l'adeguamento ai requisiti Pci contribuisce a ridurre la possibilità di violazioni. Inoltre, per un esame più approfondito, Verizon ha sovrapposto questi dati a quelli relativi ai casi di violazione delle carte di credito riportati nel “Verizon 2010 Data Breach Investigations Report” (Dbir), per poi analizzare i dati congiunti alla ricerca di punti in comune.

Ne è dunque risultato che solo il 22% delle organizzazioni è conforme inizialmente. La maggior parte delle organizzazioni non era conforme ai requisiti Pci al momento dell'Initial Report on Compliance, cioè nel momento in cui Verizon ha fatto una prima valutazione rispetto agli standard.

La maggior parte delle organizzazioni completamente conformi erano esperte della procedura o non dovevano rispondere a tutti i requisiti.
Anche se il 78% delle organizzazioni non sia inizialmente conforme, in media viene rispettato l'81% delle procedure richieste dallo standard Pci.
Tre organizzazioni su quattro rispettano almeno il 70% delle procedure di test, e solo l'11% era conforme a meno della metà delle procedure di test al momento della valutazione iniziale.

Al termine di un'indagine forense o di un'attività investigativa, i ricercatori di Verizon valutano la conformità dell'organizzazione con lo standard Pci.
Confrontando il dato con le valutazioni Pci ufficiali, gli analisti Verizon hanno stabilito che le organizzazioni che hanno subito una violazione hanno il 50% di possibilità in meno di essere conformi agli standard rispetto ai clienti Pci.

Dei dodici requisiti che costituiscono lo standard Pci Dss, tre (proteggere gli archivi dati, tracciare e monitorare l'accesso alle risorse di rete e ai dati dei titolari di carte e testare con regolarità i sistemi e le procedure di sicurezza) riguardano aree che sono più vulnerabili alle intrusioni, secondo il Dbir. Tuttavia questi tre requisiti sono gli stessi che le aziende fanno più fatica a rispettare per raggiungere la Pci compliance.

Mettendo insieme i dati relativi alle valutazioni Pci con le analisi post-violazione, gli analisti di Verizon sono stati in grado di fare una classifica dei principali metodi di attacco utilizzati per compromettere i dati delle carte di credito: malware e azioni di hacker (25%), Sql injection (24%) e sfruttamento di credenziali di default o facilmente ricavabili (21%).
Il report ha scoperto che i requisiti Pci si riferiscono ai più comuni metodi di attacco utilizzati per rubare i dati dei titolari di carte di credito.
I
n diversi casi esistono livelli multipli di controllo tra gli standard.
Le best practice messe in atto dalle organizzazioni totalmente conformi comprendono includere la sicurezza (deve essere prevista nelle procedure aziendali sin dall'inizio, non aggiunta in seguito), non separare compliance e sicurezza, considerare la compliance come un processo continuo e non come un evento occasionale, scoprire, tracciare e gestire i dati.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here