Efter att ha dokumenterat förbättringar för Payment Card Industry Data Security Standard (PCI DSS)-arbetet och själva förmågan att infria kraven de senaste sex åren (2010 – 2016) visar nu Verizon Payment Security Report 2018 (PSR) en nedåtgående trend där företagen misslyckas med bedömningar för hur väl de infriat kraven i PCI DSS.
PCI DSS hjälper företag som erbjuder kortbetalning att skydda betalningssystem från intrång och stöld av betalkortsdata. Att uppfylla kraven för PCI DSS har visat sig (via Verizon Data Breach Investigations Report-serien) hjälpa till att skydda betalningssystem från både dataintrång och stöld av kortinnehavarnas data, så trenden är därför extra alarmerande.
Data insamlad via Verizons PCI DSS-kvalificerade säkerhetsutvärderare (QSAer) under 2017 visar att förmågan att uppfylla PCI-kraven minskar, då endast 52,4 % av globala organisationer låg i linje med PCI-kraven under 2017, jämfört med 55,4 % 2016. Geografiska skillnader visar att företag i Asien och Stillahavsområdet mer sannolikt uppfyller kraven fullt ut (77,8 %), jämfört med de Europa- (46,4 %), Nord- och Sydamerika-baserade (39,7 %) företagen. Dessa skillnader kan härledas till tidpunkten för olika geografiska strategier för infriandet av kraven, kulturell uppskattning av utmärkelser/erkännande samt IT-systemens mognadsgrad.
Bland de olika sektorerna ligger IT-tjänstesektorn i topp med att infria kraven där över tre fjärdedelar av organisationerna (77,8 %) ligger helt i linje med regelverket. Handelssektorn (56,3 %) och finansiella tjänstesektorn (47,9 %) låg långt före hotell- och restaurangsektorn (38,5 %), vilken uppvisade lägst hållbarhet när det kommer till att uppfylla kraven. Där företag ofta drar nytta av arbetet med att infria PCI DSS för att möta säkerhetskraven för dataskyddslagar, som European Data Protection Regulation (GDPR), är gapet mellan dessa olika sektorer som handskas med elektroniska betalningar på daglig basis stort.
– Att uppfylla PCI-standarderna är något som minskar bland globala företag, vilket är en trend som helt enkelt måste brytas. Konsumenter och leverantörer litar på att företagen skyddar deras betalningsdata. Detta måste rättas till omgående. Vi uppmanar företag att tänka över sina mätmetoder för effektiviteten bakom deras PCI-kontroller och att koncentrera sig på att hantera hållbarheten i sitt dataskydd, säger Rodolphe Simonetti, global managing director, security consulting, Verizon.
Effektiv kontroll och hållbarhet är nödvändigt
– Verizon har legat i framkant för säkerhet kring betalkortsdata sedan 2003 genom ett tätt samarbete med PCI-communityn, för att driva på ett fullt infriande av PCI DSS-kraven. Baserat på vår expertis och erfarenhet har vi utvecklat nio faktorer som hjälper företag att upprätthålla infriandet av kraven. Vårt mål är att erbjuda en tydlig struktur och metodik för att underlätta för de som arbetar med att uppfylla PCI-kraven och att rusta dem för en dialog med sina styrelsemedlemmar genom att göra narrativet mer lättförståeligt. För att processer för infriande av PCI-kraven ska vara effektiva måste de drivas från toppen. Dock kommuniceras idag sällan framsteg eller utmaningar tillräckligt tydligt för att ledningen ska kunna hänga med, fortsätter Simonetti.
– Att dela data och att samarbeta mellan olika branscher är avgörande för att förstå den övergripande hotbilden, samt för att föra global betalningssäkerhet framåt. Något som tydligt framgår i denna rapport är att organisationer fortsätter att ställas inför utmaningar med att behålla en hög säkerhetsnivå och att visa en konstant förmåga att upprätthålla PCI-kraven i föränderliga miljöer. Organisationer borde titta noga på rapportens resultat för att ligga i linje med de viktigaste lärdomarna kring hur de fortsatt kan upprätthålla en fullgod säkerhetsnivå. Att uppfylla regelmässiga krav bör aldrig ses som slutmålet för säkerhetsarbetet, utan snarare som ett mått för en organisations fortsatta framgång i att skydda data, säger Troy Leach, Chief Technology Officer, PCI Security Standards Council.
Om Verizon 2018 Payment Security Report:
Målet med PSR 2018 är inte att övertyga läsare kring behovet av att infria PCI-kraven, utan snarare att understryka värdet av att mäta prestanda och kontrolleffektivitet. Årets rapport inkluderar resultat från PCI-utvärderingar utförda av Verizons team av PCI-kvalificerade Security Assesors för Fortune 500 och stora multinationella företag i fler än 30 länder.
I likhet med Verizons Data Breach Investigations Report-serien baseras PSR 2018 på verkliga fall med särskilt fokus på finansiella tjänster (58 %), IT-tjänster (15 %), handel (13 %), samthotell- och restaurangsektorn (11 %). Undersökta områden innefattar Syd- och Nordamerika (48 %), Asien- och Stillahavsområdet (30 %) och Europa (23 %).
