Os benefícios ea importância da Plataforma como Serviço Privado
As empresas europeias são muito atrasadas em relação ao resto do mundo, em conformidade com os padrões globais de segurança da indústria de cartões de pagamento, de acordo com uma nova pesquisa.
Pouco menos de um terço (31 por cento) das empresas europeias inquiridas reuniu 80 por cento ou mais dos requisitos PCI Data Security Standard (DSS), em comparação com 75 por cento das pessoas na região da Ásia-Pacífico e 56 por cento no Estados Unidos.
A pesquisa atribuiu a menor taxa de adesão entre as empresas europeias para as diferenças regionais devido a violar leis de notificação, variando os requisitos legais e os níveis de aprovação, bem como outras diferenças culturais.
Muitas empresas também tratar Payment Card Industry compliance (PCI) como um teste one-off e não uma exigência permanente, disse a Verizon, que realizou o estudo. Ele informou ainda que a maioria das organizações que os pagamentos com cartão deixar de atender a conformidade contínua com o PCI DSS.
Áreas onde as empresas se esforçam ao máximo no cumprimento incluir testes de segurança (23,8 por cento), monitoramento de segurança, bem como a capacidade de detectar e responder a compromissos de dados (17 por cento) de forma eficaz, bem como proteger os dados sensíveis armazenados (55,6 por cento) .
No geral, o cumprimento global com o padrão PCI tem melhorado ao longo dos últimos 12 meses. Mais de 82 por cento das organizações eram compatíveis com pelo menos 80 por cento do padrão PCI, no momento da sua avaliação anual da linha de base em 2013, em comparação com apenas 32 por cento em 2012 - uma grande melhoria.
O relatório é baseado em conclusões de centenas de reais avaliações do PCI DSS realizados pela Verizon, entre 2011 e 2013. O estudo, com base em estudo de casos reais real, executa os números sobre como as empresas bem cumprir cada um dos 12 requisitos PCI específicas.
Ciske van Ooste, diretor de operações da prática PCI de segurança da Verizon, disse El Reg que a incapacidade de manter os controles de segurança até a marca está colocando empresas a um maior risco de violações de dados, que muitas vezes resultam em ambos os prejuízos financeiros e danos à reputação de uma organização . Ele argumentou que a linha padrão de apoiadores PCI que nenhuma empresa compatível com PCI jamais sofreu uma quebra.
"É possível que possa haver um caso de violação em que uma empresa está em plena conformidade, mas eu não vi um", disse Van Ooste El Reg. Como convém a seu papel, Van Ooste estava relutante em criticar PCI além de reconhecer que é "imperfeito" quando se tratava de gestão de riscos.
Outros especialistas em segurança permanecem profundamente crítico do PCI, mesmo após as reformas recentes do padrão projetado para torná-lo mais do que um check-list cumprimento tickbox.
Por exemplo, Avivah Litan, Gartner Research vice-presidente e um especialista em segurança bancária e assuntos relacionados, argumentou recentemente que o PCI não alvo e consumidores dos EUA no caso do recente mega-quebra na cadeia de supermercados dos EUA, bem como incidentes similares antes dele.
"O PCI (Payment Card Industry) padrão de segurança tem sido em grande parte um fracasso quando se considera a sua finalidade inicial e história", Litan escreve . "Target e outras entidades violado, antes disso, como Heartland Payment Systems, estavam todos compatível com PCI no momento de sua violação. Estas empresas gastaram somas incalculáveis de dinheiro de certificação anualmente cumprimento das redes de cartões de pagamento e os seus bancos adquirentes, mas isso não aconteceu parar suas violações ".
Bob Russo, gerente geral do conselho PCI-DSS, por outro lado, argumenta que não foram necessárias mudanças de padrões na esteira de recentes violações na Target e Neiman Marcus. Menos controversa, Russo também disse que, enquanto tecnologias como chip e PIN (EMV) tinha o potencial para reduzir a fraude em ambientes de varejo, eles fazem pouco ou nada para prevenir fraudes relacionadas compras com cartão de crédito on-line. Verizon Van Ooste ecoou este último ponto: "Chip e PIN não iria ajudar a prevenir fraudes de cartões não-presente".
A entrevista de Russo com Informações de Segurança Bancária pode ser encontrada aqui .
Outras críticas do PCI incluem o argumento de que ele empurra a responsabilidade por violações baixo para os comerciantes, bem como queixas sobre o custo de atingir a conformidade e as críticas de que a norma não está conseguindo manter o ritmo com as ameaças de hackers.
Joshua Corman, estrategista de segurança que tem sido um crítico de longo prazo do padrão da indústria de cartões de pagamento, twittou que ele não estava impressionado com as explicações do PCI.
É decepcionante PCI DSS foi tão mal adaptado / evoluiu w / Tecnologia / Adversários / Biz, é inaceitável que manter reivindicando infalibilidade
- Joshua Corman (@ joshcorman) 03 de fevereiro de 2014 Para melhor ou pior, o PCI DSS é o padrão da indústria de cartões de pagamento estabelecido. É um assunto importante, mas um pouco seca tão grande crédito vai para as pessoas que montar um 'Country & Western canção rootin'-tootin que resume os 12 principais requisitos da norma (um chapéu de ponta para a indústria de segurança Graham Cluley veterano para desenhar nosso atenção a este esforço de animação, abaixo).
Comédia país e vídeo infosec ocidental.
Uma linha do tempo visual do PCI DSS pode ser encontrada aqui .
Nenhum comentário:
Postar um comentário