Quando l’adesione agli standard di sicurezza dei sistemi di pagamento diventa una leva di profitto. Ne parla Ciske van Oosten, di Global Verizon.
In materia di conformità Pci (Payment Card Industry) security c’è spesso una separazione di vedute tra aziende che la considerano come una questione meramente tecnica e aziende che la vedono invece come una criticità del business.
Secondo Ciske van Oosten, Director of Operations, Global Verizon Pci Security Practice, la corretta prassi commerciale richiede una continua protezione degli investimenti aziendali e un incremento del guadagno potenziale per ogni asset utilizzato nel business. Quindi, per lui, l’accettazione di pagamenti con carte di credito è una preziosa risorsa per il business.
Se tale asset è ben gestito e protetto può garantire un buon Roi alle aziende ma, se così non fosse, potrebbero insorgere dei problemi.
Il Verizon 2014 Pci Compliance Report, ricorda van Oosten, ha messo in rilievo come troppe aziende, in fase di assessment annuale, non siano riuscite a mantenere una compliance costante, esponendo il proprio business a serio rischio di violazioni di dati, danni finanziari e di immagine.
Nel 2013, l’11,1% delle aziende erano completamente conformi agli standard al momento della valutazione iniziale, registrando così un incremento del 7,5% rispetto al 2012.
Per van Oosten si continua a vedere molte aziende che considerano la Pci compliance come un evento annuale isolato, non consapevoli del fatto che la compliance deve essere importante 365 giorni l’anno.
Le aziende spesso si chiedono “la Pci Compliance può essere realmente considerata come un’opportunità di business?”.
Per van Oosten la risposta è decisamente affermativa.
Compliance, sicurezza e data protection dovrebbero essere viste come un elemento critico all’interno di un’azienda, e soprattutto dovrebbero essere considerate un’opportunità per ogni azienda conforme.
Lo stesso Pci Security Standards Council ha dichiarato che le modifiche al Dss 3.0 sono state progettate per “aiutare le aziende ad assumere un approccio proattivo alla protezione dei dati dei possessori di carte che si focalizzi sulla sicurezza e non sulla compliance, e fanno della Pci Dss una pratica business-as-usual”.
Le aziende possono trarre beneficio rendendo le attività di compliance parte integrante del loro business, ma è probabile che necessitino di consigli sulle attività di assessment, management, controllo delle modifiche e incident response, così da essere aiutate a gestire i propri programmi di sicurezza e compliance.
Maggiore allineamento, o riferimento, all’information security governance e agli standard qualitativi di gestione, in particolare, l’inserimento di un maturity model, aiuterebbe ad affrontare anche questo.
Se ben gestita, per van Oosten, la compliance può innescare miglioramenti nei processi aziendali, individuare opportunità di consolidamento per l’infrastruttura e generare nuove entrate per l’azienda.
Maggiore efficienza aziendale
I programmi di conformità Pci costituiscono una valida occasione per riesaminare da cima a fondo tutte le attività aziendali.
Molte imprese hanno constatato come gli sforzi per il raggiungimento della compliance producano effetti positivi immediati grazie all’ottimizzazione dei processi, a una migliore comunicazione interna e al maggiore controllo da parte del management della spesa inerente la sicurezza.
Maggiore efficienza dei servizi It
Conformarsi ai requisiti di protezione Pci comporta quasi sempre la necessità di apportare modifiche a livello It e di business. Il programma di compliance è l’occasione di ripensare in un’ottica strategica sistemi e investimenti accumulatisi negli anni o nei decenni a maggiore vantaggio per l’azienda. Può, ad esempio, contribuire a giustificare il consolidamento e la valorizzazione dell’infrastruttura con ricadute positive su sicurezza, business continuity, facilità di gestione e performance di sistema.
Riduzione del rischio
Il programma di conformità Pci coincide spesso con la prima volta in cui l’azienda affronta seriamente il tema della sicurezza delle informazioni. La serie di controlli previsti può essere applicata a dati e sistemi diversi da quelli delle carte di pagamento, contribuendo così a incrementare la sicurezza complessiva e a ridurre l’esposizione al rischio.
Maggiore innovazione
Conformità non è solo tappare i buchi. È imboccare un percorso capace di rilanciare l’innovazione in azienda. Può stimolare l’adozione di nuove tecnologie, di nuove modalità di lavoro e di nuovi modelli aziendali. Alcuni retailer, ad esempio, hanno introdotto nuovi sistemi Pos conformi ai requisiti Pci registrando incrementi significativi nel volume di attività e nelle iniziative pubblicitarie.
Maggiore fiducia da parte dei clienti
Aspettatevi che i clienti di domani siano più esigenti di quelli di oggi. Big data e advanced analytics consentono di analizzare con estrema precisione i comportamenti dei consumatori a patto che questi si sentano sicuri nell’affidare all’azienda i propri dati.
L’applicazione dei requisiti Pci a tutte le attività che coinvolgono i clienti contribuisce a garantire la riservatezza dei dati che li riguardano e può aiutare a costruire la fiducia nei confronti di un brand.
Le organizzazioni hanno bisogno di controlli continui non solo sul proprio status relativo alla conformità Pci, ma anche sulle policy di data protection inserite in una security practice universale.
Essere conformi allo standard Pci Dss al 100% non rende necessariamente sicuro al 100% il proprio business, è solo un elemento di un quadro di sicurezza più ampio.
