La sicurezza delle carte di credito? Ancora problematica

di Andrea Barbieri Carones

3 Ottobre 2011 07:00

Per il 2° anno di fila il report di Verizon mostra che molte aziende hanno difficoltà a conformarsi agli standard di sicurezza delle carte di credito.

Attenzione alla sicurezza della propria carta di credito. Per il secondo anno consecutivo, infatti, il Verizon Payment card Industry Compliance Report mostra che ancora troppe aziende che accettano carte di credito o di debito hanno delle difficoltà a rispondere a quei requisiti richiesti dal Payment Card Industry Data Security Standard (PCI DSS), un sistema che richiede alle società che gestiscono dati di titolari di carta di seguire precise regole in merito alla sicurezza.

Come conseguenza, queste ultime aziende vanno incontro a rischi maggiori di perdita delle informazioni sensibili dei clienti e di rimanere vittime di frodi.

Le aziende non riescono a mantenere la conformità nonostante questo comporti pesanti sanzioni, incluse multe e aumenti delle spese di transazione da parte dei circuiti di carte di credito. Questo report esamina anche la conformità delle aziende rispetto a 12 requisiti specifici e fornisce alcuni suggerimenti che le società possono seguire come aiuto per raggiungere e mantenere la conformità.

Il report è basato sui risultati di oltre 100 valutazioni condotte nel 2010 da un team di Verizon, e sui dati raccolti dal gruppo Investigative Response di Verizon indagando reali violazioni dei dati delle carte di pagamento. Inoltre, il Risk Intelligence team ha confrontato i risultati con i casi di violazione dei dati del 2011 Verizon Data Breach Investigations Report, ottenendo una serie di dati più completa e strutturata.

Tra i risultati emersi dal 2011 Verizon Payment Card Industry Compliance Report rientrano:

  • La situazione della compliance non è peggiorata né migliorata, ed è ancora “deludente”. Solo il 21% delle aziende sono risultate conformi durante l’audit iniziale. Il report registra che la difficoltà nell’ottenere la conformità insieme alla troppa sicurezza nelle proprie strutture sono tra i principali motivi di una non conformità così estesa.
  • La mancanza di conformità PCI continua ad essere legata alle violazioni di dati. Il report dimostra anche quest’anno che le organizzazioni che hanno subito violazioni molto spesso non riescono a rispondere agli standard previsti e hanno maggiori probabilità di essere colpite da furti di identità e truffe.
  • Le aziende hanno difficoltà con i principali requisiti. Le società hanno riscontrato difficoltà soprattutto con la protezione dei dati dei titolari delle carte e con il tracciamento e il monitoraggio dell’accesso.
  • Non dare priorità agli sforzi per raggiungere la compliance spesso significa ignorare minacce ad alto rischio per la sicurezza. Il report ha evidenziato che le aziende invece di utilizzare un approccio basato sul rischio, fanno affidamento agli standard PCI DSS come guida. Il risultato è che molte società ignorano le minacce alla sicurezza con rischi altissimi e potenziali impatti altamente negativi.
  • Lo standard PCI offre protezione contro i più comuni metodi di attacco. I malware e le attività di hacking sono i metodi predominanti utilizzati per ottenere l’accesso ai dati dei possessori di carte. La sovrapposizione di molti dei requisiti PCI ha lo scopo di proteggere da questi metodi di attacco.

            Sulla base di un’analisi approfondita Verizon offre le seguenti raccomandazioni per aiutare le aziende a raggiungere gli obiettivi di conformità PCI:

  • Considerare la compliance come un processo giornaliero e costante. 
  • Autovalutazioni caute – o assenti. Verizon raccomanda la presenza di una terza parte obiettiva in grado di legittimare la validità del giudizio o di svolgere i test.
  • Prepararsi a un aumento delle difficoltà.