Dopo aver documentato i miglioramenti nella compliance al Payment Card Industry Data Security Standard (PCI DSS) nei passati sei anni (2010-2016), il Payment Security Report 2018 di Verizon (PSR) adesso rivela un preoccupante trend al ribasso, secondo il quale le aziende non superano la valutazione della compliance a questi requisiti, e, aspetto forse ancor più grave, non riescono ad applicarla appieno.
I requisiti Payment Card Industry Data Security Standard (PCI DSS) aiutano le aziende che offrono servizi di pagamento tramite carta di credito a proteggere i loro sistemi di pagamento da violazioni e furti di dati dei possessori delle carte di credito.
E’ stato documentato (attraverso i dati del Data Breach Investigations Report di Verizon) che la compliance agli standard PCI DSS aiuta a proteggere i sistemi di pagamento sia dalle violazioni che dal furto dei dati degli intestatari delle carte di credito, ed è per questa ragione che il trend registrato risulta essere allarmante.
I dati raccolti dal team di Verizon PCI DSS Qualified Security Assessors (QSAs) nel 2017 hanno evidenziato che l’adeguamento ai requisiti PCI tra le aziende a livello mondiale è in calo; solo il 52.4% delle organizzazioni, infatti, ha mantenuto pieno rigore nell’adeguamento ai requisiti nel 2017, una percentuale inferiore se paragonata a quella del 2016, di 55.4%.
Sono state evidenziate le differenze di diverse aree regionali, e ciò che è emerso è che il 77.8% delle aziende appartenenti all’area Asia-Pacifico è propenso alla conformità di questi requisiti di sicurezza, a differenza delle aziende presenti in Europa (46.4%) e in America (39.7%). Le ragioni di tali differenze possono derivare da tempi differenti di applicazione delle strategie di compliance in base all’area geografica di appartenenza, dall’approccio culturale nella valutazione di premi e riconoscimenti o dalla maturità dei sistemi IT.
Tra i diversi settori economici, i servizi IT restano i migliori per quanto concerne questo aspetto, con tre quarti delle organizzazioni (77.8%) che raggiungono il pieno stato di adeguamento. I settori del Retail (56.3%) e dei servizi finanziari (47.9%) sono molto più attenti rispetto alle organizzazioni del settore hospitality (38.5%), che hanno mostrato il livello di attuabilità della compliance più basso.
Dato che diverse aziende spesso sfruttano gli sforzi di adeguamento ai requisiti PCI DSS per raggiungere gli standard di sicurezza imposti dalle normative sulla protezione dei dati, come il Regolamento Europeo per la protezione dei dati personali (GDPR), il gap esistente tra i vari settori economici che offrono quotidianamente pagamenti elettronici è certamente rilevante.
“L’adeguamento agli standard PCI, nelle aziende di tutto il mondo, è in diminuzione, e questa tendenza non può più continuare”, commenta Rodolphe Simonetti, global managing director for security consulting di Verizon.
“Sia i clienti che i fornitori hanno fiducia nel fatto che i brand si impegnino per mettere in sicurezza i loro dati nei processi di pagamento, per questa ragione dobbiamo intervenire nell’immediato per porre rimedio a questa situazione. Raccomandiamo alle aziende di rivalutare le loro metodologie di misurazione dell’efficacia dei controlli PCI, e di concentrarsi sulla gestione dell’attuabilità della protezione dei propri dati”.
L’efficacia e l’attuabilità dei controlli sono essenziali
Continua Simonetti: “Verizon è stata in prima linea per quanto concerne la sicurezza dei dati dei possessori di carta di credito, fin dal 2003, collaborando strettamente con la PCI Community per aumentare la compliance agli standard PCI DSS. In base al nostro know how e alla nostra esperienza sul campo, abbiamo identificato nove fattori che possono aiutare le aziende ad adeguarsi al livello di compliance richiesto. Il nostro scopo è quello di fornire una struttura ed una metodologia chiara per aiutare inizialmente il personale addetto alla compliance, ma anche per dare loro gli strumenti necessari affinché sia possibile un dialogo aperto circa questo argomento con i membri del board aziendale, rendendo queste tematiche meno ostiche.
Perché i procedimenti di compliance possano essere efficaci, devono provenire dall’alto, anche se spesso, i messaggi di innovazione o le sfide non vengono veicolati in modo chiaro o non sono del tutto compresi dalla dirigenza”.
Di seguito, i nove fattori necessari per controllare efficacia e attuabilità indicati da Verizon, che sostengono i 12 requisiti chiave degli standard PCI DSS:
- Fattore 1- Controllo dell’ambiente: L’attuabilità e l’efficacia dei 12 requisiti chiave dipendono da un Controllo dell’ambiente corretto.
- Fattore 2 – Progettazione dei controlli: un controllo appropriato dell’operatività, necessario per raggiungere gli obiettivi DSS di controllo della sicurezza, dipende da una puntuale Progettazione dei controlli.
- Fattore 3 – Rischi associati ai controlli: Senza una cura continua (test di sicurezza, gestione dei rischi, etc.), l’efficacia dei controlli può scemare nel corso del tempo, e infine venire meno. Per mitigare un’eventuale mancata attivazione dei controlli, è imprescindibile una gestione integrata dei rischi associati a questi.
- Fattore 4 – Solidità dei controlli: I controlli vengono applicati ad ambienti dinamici e caratterizzati da minacce in costante evoluzione. Per questo, devono essere sufficientemente solidi per far fronte a cambiamenti inaspettati, per mantenere funzionalità e utilità verso gli obiettivi (standard di configurazione, controllo degli accessi, hardening dei sistemi, etc.).
- Fattore 5 – Resilienza dei controlli: I controlli di sicurezza potrebbero non entrare in azione anche se vengono aggiunti molteplici step per massimizzarne la solidità, dunque la resilienza attraverso il rilevamento proattivo e il recupero tempestivo in caso di mancato funzionamento sono essenziali per l’efficacia e l’attuabilità.
- Fattore 6 – Gestione del ciclo di vita dei controlli: Per raggiungere gli obiettivi sopra, è necessario monitorare i controlli e gestirli in modo attivo in tutte le fasi del loro ciclo di vita, a partire dalla loro creazione fino alla disattivazione.
- Fattore 7 – Gestione delle performance dei controlli: Definire e comunicare gli standard delle performance per misurare i risultati reali dell’ambiente di controllo ne migliora l’efficacia, promuovendo risultati prevedibili sulla protezione dei dati e sulle attività di compliance, consentendo quindi di individuare tempestivamente un eventuale calo delle performance, e di invertire la tendenza.
- Fattore 8 – Valutazione della maturità: Un ambiente di controllo non dovrebbe mai diventare stagnante – al contrario, dovrebbe migliorare costantemente. In quest’ottica, le aziende devono seguire una roadmap, definire un livello di riferimento per i procedimenti, e sviluppare risorse adeguate per monitorarne ottimizzazione e codificazione, come indicatori di quanto i processi di sviluppo siano completi e in grado di migliorarsi costantemente.
- Fattore 9 – Autovalutazione: Per raggiungere tutti questi obiettivi è necessaria un’autonomia interna alle aziende – disponibilità di risorse (professionisti, processi e tecnologia), competenze (processi di supporto), know how (skill, conoscenze ed esperienza) e impegno (determinazione nell’applicare in modo coerente gli standard) – in poche parole, capacità di autovalutazione.
“La condivisione dei dati e la cooperazione tra diversi settori è essenziale per comprendere il panorama delle minacce in evoluzione, e per il progresso della sicurezza dei pagamenti a livello globale. Come risulta chiaramente dal report, le organizzazioni continuano a faticare nel mantenere livelli ottimali di sicurezza, e nel dimostrare una compliance costante in ambienti in rapido cambiamento” afferma Troy Leach, Chief Technology Officer del PCI Security Standards Council. “Le organizzazioni dovrebbero prestare molta attenzione ai dati di questo report, al fine di essere sempre in guardia e di interiorizzare gli insegnamenti principali per essere sempre al sicuro. La compliance, inoltre, non può essere vista come l’obiettivo finale della sicurezza, ma come uno strumento per misurare se i processi di protezione di dati delle organizzazioni sono efficaci.”
Per aiutare le aziende nel monitoraggio di una compliance ottimale, Verizon ha sviluppato inoltre una timeline completa he indica le tempistiche per ogni attività specifica.
Il Payment Security Report 2018
L’obiettivo del PSR 2018 non è convincere i lettori della necessità di aderire agli standard PCI, piuttosto di enfatizzare l’importanza della misurazione dei risultati e dell’efficacia dei controlli. L’edizione di quest’anno del report racchiude i risultati delle verifiche sugli standard PCI effettuate da un team di Verizon dedicato, il team PCI Qualified Security Assessors, per Fortune 500 e per altre grandi multinazionali, in più di 30 paesi diversi.
Proprio come nel caso del Data Breach Investigations Report, il PSR 2018 si basa su casi reali, con focus specifici relativi ai settori dei servizi finanziari (58%), dei servizi IT (15%), retail (13%) e hospitality (11%). Le aree geografiche analizzate comprendono America (48%), APAC (30%) e Europa (23%).
Il Payment Security Report 2018 di Verizon può essere scaricato here.
I servizi di sicurezza professionale di Verizon
Nel panorama della comunità della PCI Security, la voce di Verizon è quella di un consulente conosciuto e rispettato in materia. Dal 2009, infatti, Verizon ha condotto più di 16.000 test di sicurezza, per aziende multinazionali e della lista Fortune 500. Verizon gestisce le reti di più di 4.000 clienti a livello mondiale, e l’azienda stessa opera una delle reti IP globali più estese del mondo, per questo vanta uno sguardo unico sulla sicurezza. Verizon offre un ampio ventaglio di programmi di consulenza e test sulla sicurezza dei pagamenti e sulla conformità agli standard principali (PCI-DSS, PA-DSS, P2PE, EI3PA, PIN ed ECB) e sulla sicurezza del settore sanitario e i relativi standard (HIPAA, ONC Health IT, ConCert by HIMSS); inoltre, offre test di sicurezza e certificazioni per la sicurezza di hardware, software, soluzioni e IoT (grazie agli ICSA Labs Verizon), oltre a test relativi alle minacce e alla vulnerabilità.