Koppling mellan bristande efterlevnad mot PCI DSS och förmåga att försvara sig mot cyberattacker

I och med ökad cyberbrottslighet är betalkortssäkerhet också ett ökande fokus för både företag och konsumenter.

Den standard som finns för betalkortssäkerhet (Payment Card Industry Data Security Standard, PCI DSS) finns där för att hjälpa företag som tar emot kortbetalningar, för att skydda sina betalsystem från intrång och stöld av kortinnehavardata. Resultaten från Verizon 2017 Payment Security Report (2017 PS) påvisar en koppling mellan organisationer som lever upp till säkerhetsstandarderna och förmågan att skydda sig mot cyberattacker.

  • Payment Card Industry Data Security Standard (PCI DSS) hjälper till att skydda betalsystem från intrång och stölder av data relaterat till kortinnehavaren
  • Bland samtliga dataintrång mot betalkort Verizon undersökte fanns det ingen organisation som fullt ut levde upp till de säkerhetskrav som finns vid tidpunkten för intrånget. Organisationerna påvisade sämre överensstämmelse mot 10 av de 12 nyckelkrav som finns för PCI DSS.
  • Det totala antalet organisationer som Verizon bedömde, som uppnått en överensstämmelse med PCI-kraven vid den årliga bedömningen, har ökat till 55.4 %, en ökning från 48.4 % under 2015 – men att behålla en överensstämmelse mot säkerhetskraven är fortfarande ett problem

Bland alla dataintrång mot betalkort som Verizon undersökte var det ingen organisation som fullt ut levde upp till säkerhetskraven vid tidpunkten för intrånget, utan påvisade sämre överensstämmelse med 10 av de 12 nyckelkraven.

Det övergripande uppfyllandet av PCI-kraven har ökat bland globala företag där 55,4 % av företagen Verizon bedömde klarade sin årliga bedömning under 2016. Detta är en ökning från 2015 då endast 48,4 % av organisationerna uppnådde full överensstämmelse under deras årliga validering. Detta betyder att nästan hälften av handlarna, restauranger, hotell och andra företag som tar emot kortbetalningar fortfarande misslyckas med att upprätthålla PCI-kraven från ett år till nästa.

– Det finns tydlig koppling mellan förmågan att leva upp till PCI DSS och en organisations förmåga att försvara sig mot cyberattacker. Medan det är bra att se att PCI upprätthålls i högre utsträckning kvarstår det faktum att över 40 % av de globala organisationerna vi bedömde, både stora och små, fortfarande inte möter PCI DSS-standarderna. Av de som går igenom valideringen är det nästan hälften som misslyckas att upprätthålla standarden inom ett år, och många tidigare än så, kommenterar Rodolphe Simonetti, global managing director for security consulting, Verizon.

PSR 2017 erbjuder fem viktiga riktlinjer:

  1. Konsolidera för enklare hantering – Att addera mer säkerhetskontroller är inte alltid svaret. PCI DSS innefattar redan flera sammanlänkade dataskyddsstandarder. Organisationer borde kunna använda dessa för att konsolidera kontroller och göra dem enklare att hantera överlag.
  2. Investera i att utveckla expertis – Organisationer borde investera i sin personal för att utveckla och underhålla sin kunskap om hur de kan förbättra, övervaka och mäta effektiviteten av de kontroller som finns på plats.
  3. Applicera en balanserad approach – Företagen behöver behålla en intern kontrollmiljö som är både robust och motståndskraftig om de vill undvika att kontroller inte längre kan upprätthålla PCI-standarderna
  4. Automatisera allt som går – Att applicera ett arbetsflöde och automatisering för dataskydd kan vara en enorm tillgång när det kommer till kontrollhanteringen – men all automatisering måste utvärderas frekvent.
  5. Utforma, driv och hantera den interna kontrollmiljön – Prestandan för varje kontrollfunktion är sammanlänkad. Finns det ett problem högst upp kommer detta påverka prestandan för kontrollfunktioner längst ned. Det är viktigt att förstå detta för att uppnå och upprätthålla ett effektivt och hållbart program för dataskydd.