Connettiti con noi

Hi-Tech

A quando più sicurezza nei pagamenti digitali?

Quasi la metà delle attività che accettano pagamenti con carta di credito non rispetta i requisiti minimi di sicurezza. Verizon avvisa retailer, ristoratori e hotel

architecture-alternativo

Quasi la metà delle attività che si accettano e focalizzano il loro business sui pagamenti con carta di credito gioca col fuoco. Il 45% di hotel, ristoranti e retailer non riesce a soddisfare i requisiti minimi di sicurezza indagati dal Payment Security Report 2017 di Verizon. Questi standard basilari di protezione (Payment Card Industry Data Security Standard, PCI DSS) sono stati introdotti per proteggere i sistemi di pagamento con carte di credito dal pericolo di violazioni e furto dei dati dei titolari di queste carte. In tutti i casi di sottrazione di dati, infatti, Verizon ha riscontrato la mancata conformità a 10 dei 12 requisiti.

CARTE DI CREDITO, IL 45% DELLE AZIENDE NON PENSA ALLA SICUREZZA

In generale, secondo Verizon a livello mondiale ormai il 55% delle aziende rispetta gli standard PCI: un dato in aumento, ma ancora troppo basso. Vuol dire infatti che quasi la metà di retailer, ristoranti e hotel non si è adeguato alle necessità di protezione dei dati. «Il rispetto dei requisiti PCI DSS e la capacità di un’organizzazione di difendersi dagli attacchi informatici sono aspetti chiaramente legati», dice Rodolphe Simonetti, Global Managing Director for Security Consulting di Verizon. «Se da un lato un maggior rispetto dei requisiti PCI è positivo, rimane il fatto che più del 40% delle organizzazioni di tutte le dimensioni esaminate a livello globale ancora non applica i criteri PCI DSS. E, tra quelle che hanno superato quest’analisi, quasi la metà non è più conforme nel giro di un anno, e altre ancora prima».

Il settore più all’avanguardia in questo campo è, ovviamente, quello dei servizi It con il 61,3% delle organizzazioni che ha mostrato un’adesione completa ai criteri. Seguono i servizi finanziari (59,1%), retail (50%) e appunto hospitality (42,9%). «La questione non è più ‘se’ i dati debbano essere protetti, ma ‘come’ arrivare ad una protezione dei dati davvero sostenibile», prosegue Simonetti. «Molte organizzazioni concepiscono ancora i criteri di sicurezza PCI DSS come fini a se stessi, e non capiscono come siano invece interconnessi – il concetto di gestione del ciclo di vita della sicurezza, fin troppo spesso, è completamente inesistente. E, spesso, questo è il risultato della mancanza di personale interno specializzato – ma, nella nostra esperienza, le competenze interne possono trarre ampi spazi di miglioramento grazie alla consulenza costante di esperti esterni».

COME DIFENDERE I PAGAMENTI DIGITALI

Il Payment Security Report 2017 contiene anche cinque linee guida per la gestione del ciclo di vita della sicurezza:

  1. Consolidare per una gestione più semplice – Non sempre aumentare i controlli di sicurezza è la risposta giusta: lo Standard PCI DSS comprende già di per sé numerosi requisiti e normative per la protezione dei dati, tutti interconnessi tra loro. Le organizzazioni dovrebbero perciò riuscire a utilizzarlo per consolidare la sicurezza, semplificandone, in generale, la gestione.

  2. Investire nello sviluppo del know-how – Le organizzazioni dovrebbero investire nelle risorse umane, per sviluppare e mantenere le conoscenze su come migliorare, monitorare e misurare l’efficacia dei controlli di sicurezza già in atto.

  3. Adottare una strategia equilibrata – Le aziende devono basarsi su un ambiente di controllo interno che sia solido e resiliente al tempo spesso, se vogliono restare in linea con i requisiti di sicurezza vigenti.

  4. Automatizzare il più possibile – Applicare il flusso di lavoro della protezione dei dati e l’automazione può essere un grande vantaggio in termini di gestione della sicurezza – ma ogni automazione deve essere ispezionata frequentemente.

  5. Progettare, applicare e gestire l’ambiente dei controlli di sicurezza interni – Le performance di tutti i controlli di sicurezza sono interconnesse. Se a monte si verifica una criticità, si ripercuoterà sul rendimento dei controlli di sicurezza a valle. E’ quindi essenziale capire questo aspetto, per acquisire e mantenere un programma di protezione dei dati efficace e sostenibile.