In America, solo 1 organizzazione su 5 rispetta completamente gli standard di conformità; guidano la classifica delle aziende più virtuose quelle dell’area Asia-Pacifico. Il Framework 9-5-4 di Verizon include gli elementi per aiutare a sviluppare e migliorare la capacità e la maturità dei processi in un programma di compliance di protezione dei dati (DPCP).
La conformità alla sicurezza dei pagamenti è diminuita per il secondo anno consecutivo, con le organizzazioni con sede in America che non tengono il passo rispetto alle altre: questo è ciò che emerge dal Payment Security Report (PSR) 2019 di Verizon.
Quando Visa Inc. ha lanciato il PCI DSS nel 2004, molti ritenevano che le organizzazioni avrebbero raggiunto un livello di compliance efficace e sostenibile entro cinque anni. Ora, a 15 anni di distanza, il numero di aziende che a livello globale raggiungono e mantengono la conformità è sceso dal 52,5% (PSR 2018) al 36,7%. Localmente, le organizzazioni della regione Asia-Pacifico (APAC) dimostrano una maggiore capacità di mantenere la piena conformità, lo fa il 69,6% di queste, rispetto al 48% delle aziende dell’area Europa-Medio Oriente-Africa (EMEA) e appena il 20,4% (1 su 5) di quelle del continente americano.
Come mostrato nelle diverse edizioni del Verizon Data Breach Investigations Report, il PCI DSS aiuta le aziende che offrono servizi di pagamento con carta a proteggerli da violazioni e furti dei dati. La conformità si misura sulla capacità di un’organizzazione di soddisfare – e, soprattutto, di mantenere – questo standard.
“Dopo aver assistito a un graduale aumento della compliance tra il 2010 e il 2016, stiamo assistendo a un trend negativo e a una crescente differenziazione a livello geografico”, ha affermato Rodolphe Simonetti, Global Managing Director for Security Consulting di Verizon. “Vediamo un numero crescente di organizzazioni che non sono in grado di raggiungere e mantenere la conformità richiesta per il PCI DSS, cosa che ha un impatto diretto sulla sicurezza dei dati di pagamento dei loro clienti. Con la versione dello standard PCI DSS 4.0 che verrà lanciata a breve, le aziende hanno l’opportunità di invertire questa tendenza ripensando il modo in cui implementano e strutturano i loro programmi di conformità.”
Il nuovo framework Verizon aiuta le aziende a rispettare la conformità della sicurezza dei pagamenti
La protezione dei dati e la conformità presentano sfide quotidiane. Molte organizzazioni ritengono di poter utilizzare un unico script adatto a tutti per ottenere una protezione dei dati efficace e sostenibile. In realtà la sicurezza è qualcosa di più complesso.
Continua Simonetti “Molte organizzazioni spendono molto tempo e denaro per creare programmi di compliance per la protezione dei dati, ma spesso questi sono inefficaci: sulla carta sembrano buoni, ma non sono in grado di superare un security assessment di tipo professionale. I Chief Information Security Officer continuano a concentrarsi su come mantenere le attività di controllo di base, anziché preoccuparsi della capacità e della maturità dei loro programmi di protezione dei dati. Ciò di cui hanno bisogno è una guida alla navigazione chiara e di facile comprensione, che li aiuti a fornire risultati misurabili e prevedibili.” Nei Payment Security Report precedenti, Verizon ha sviluppato una metodologia per aiutare le organizzazioni a gestire i propri programmi di conformità della protezione dei dati (DPCP). Adesso tutti questi spunti sono stati riuniti per formare il Verizon 9-5-4 Compliance Program Performance Framework – un insieme di linee guida che aiutano a sviluppare e migliorare l’efficacia e la maturità dei processi. Il Framework 9-5-4 è pensato per aiutare le organizzazioni a raggiungere risultati ripetibili, coerenti e prevedibili, offrendo una guida su come mappare, monitorare e riassumere lo stato di sostenibilità ed efficacia. Ciascuno dei 9 fattori di controllo dell’efficacia e della sostenibilità (controllo dell’ambiente, progettazione dei controlli, rischi associati ai controlli, solidità dei controlli, resilienza dei controlli, gestione del ciclo di vita dei controlli, gestione delle performance dei controlli, valutazione della maturità e autovalutazione) viene analizzato alla luce di 4 direttrici di fattibilità – responsabilità individuale, gestione del rischio e team di conformità, audit interno, audit esterno e autorità di regolamentazione – e in funzione dei 5 vincoli organizzativi – capacità, capability, competenza, impegno e comunicazione.
Una maggiore correlazione fra mancanza di conformità e violazioni
Il rapporto include anche i dati del Verizon Threat Research Advisory Center (VTRAC), che dimostra come un programma di conformità privo di controlli adeguati per la protezione dei dati abbia una probabilità superiore al 95% di non essere sostenibile e sia con maggiore probabilità il potenziale bersaglio di un attacco informatico.
“Per anni abbiamo discusso sulla stretta correlazione tra la mancanza di conformità al PCI DSS e le violazioni informatiche”, conclude Simonetti. “Nel rapporto di quest’anno, abbiamo incluso ancora più dati dal team VTRAC di Verizon, gli autori delle varie edizioni del Data Breach Investigations Report, per aggiungere un ulteriore grado di approfondimento a questa discussione. I nostri dati mostrano che non abbiamo mai riscontrato una violazione dei dati di sicurezza di una carta di pagamento per un’organizzazione che rispetta gli standard del PCI DSS. La conformità funziona!”
Informazioni sul Payment Security Report 2019 di Verizon
Il report di quest’anno si concentra sulla visibilità delle prestazioni, il controllo e la maturità dei DPCP. Include i risultati di 302 verifiche sugli standard di sicurezza dei dati PCI, di un vasto gruppo di organizzazioni, comprese grandi multinazionali e aziende inserite nella lista Fortune 500 di oltre 60 paesi. Le valutazioni sono state condotte dal team Verizon di PCI Qualified Security Assessors (QSAs) e da importanti QSA di terze parti, tra cui ControlScan, Foregenix, MegaplanIT e Schellman.
Come il Verizon Data Breach Investigations Report, il PSR 2019 si basa su casi reali con un focus specifico sui servizi finanziari (50,7%), servizi IT (17,5%), retail (19,9%) e Hospitality (10,6%). Le aree geografiche includono America (50%), APAC (20%) ed EMEA (30%).