Crolla drasticamente la sicurezza dei pagamenti digitali con carta. La fotografia è scattata dal Payment Security Report 2019 di Verizon, secondo cui solo 1 azienda su 3 a livello globale rispetta i livelli di compliance allo standard Pci Dss (Payment Card Industry Data Security Standard lanciato da Visa nel 2004). Tra le aziende americane addirittura solo un’azienda 1 su 5 garantisce il rispetto degli standard.
Ad essere meno sicurezza il settore dell’ospitalità dove solo il 25% delle aziende che operano in quest’ambito raggiunge la compliance.
C’è una correlazione diretta tra mancato rispetto degli standard di sicurezza e violazione dei dati: tutte le aziende che hanno subito violazione dei dati sono risultate non conformi agli standard di sicurezza.
A 15 anni di distanza dal lancio del Pci Dss, il numero di aziende che a livello globale raggiungono e mantengono la conformità allo standard è sceso dal 52,5% al 36,7%. Localmente, le organizzazioni della regione Asia-Pacifico dimostrano una maggiore capacità di mantenere la piena conformità, lo fa il 69,6% di queste, rispetto al 48% delle aziende dell’area Europa-Medio Oriente-Africa e appena il 20,4% (1 su 5) di quelle del continente americano.
“Dopo aver assistito a un graduale aumento della compliance tra il 2010 e il 2016, stiamo assistendo a un trend negativo e a una crescente differenziazione a livello geografico – evidenzia Rodolphe Simonetti, Global Managing Director for Security Consulting di Verizon – Vediamo un numero crescente di organizzazioni che non sono in grado di raggiungere e mantenere la conformità richiesta per il Pci Dss, cosa che ha un impatto diretto sulla sicurezza dei dati di pagamento dei loro clienti. Con la versione dello standard Pci Dss 4.0 che verrà lanciata a breve, le aziende hanno l’opportunità di invertire questa tendenza ripensando il modo in cui implementano e strutturano i loro programmi di conformità.”
La protezione dei dati e la conformità presentano sfide quotidiane. Molte organizzazioni ritengono di poter utilizzare un unico script adatto a tutti per ottenere una protezione dei dati efficace e sostenibile. In realtà la sicurezza è qualcosa di più complesso.
“Molte organizzazioni spendono molto tempo e denaro per creare programmi di compliance per la protezione dei dati, ma spesso questi sono inefficaci: sulla carta sembrano buoni, ma non sono in grado di superare un security assessment di tipo professionale – conclude Simonetti – I Chief Information Security Officer continuano a concentrarsi su come mantenere le attività di controllo di base, anziché preoccuparsi della capacità e della maturità dei loro programmi di protezione dei dati. Ciò di cui hanno bisogno è una guida alla navigazione chiara e di facile comprensione, che li aiuti a fornire risultati misurabili e prevedibili.”
