04/09/2017 di Redazione

Carte di credito a rischio nel 45% dei pagamenti digitali

Poco più di metà dei retailer, ristoratori, albergatori, servizi finanziari e It attivi nel commercio elettronico soddisfa i criteri di sicurezza previsti come standard di settore per le procedure di pagamento. Lo svela un nuovo report di Verizon.

immagine.jpg

Pagare online è sicuro? La domanda potrebbe quasi sembrare superata, in tempi di maturità dell'e-commerce, anche nelle sue forme più nuove, come gli acquisti da smartphone e da app. E invece non lo è, come svelato da un nuovo studio di Verizon. I sistemi di pagamento integrati nei siti di e-ecommerce e nelle applicazioni possono dirsi “sicuri”, cioè conformi ai principali standard di sicurezza, solo nel 55,4% dei casi. È questa, infatti, la percentuale di retailer, ristoratori, albergatori, servizi finanziari e It attivi nel commercio elettronico che lo scorso anno ha introdotto i requisiti previsti dal Payment Card Industry Data Security Standard (Pci Dss), che si occupa di fornire indicazioni per il settore delle carte di credito.

Non si tratta, purtroppo, di un problema teorico: tutti gli episodi di violazione di dati di una carta di credito su cui Verizon ha indagato erano legati alla mancata applicazione di questi requisiti, che al momento dell'attacco cybercriminale risultavano non soddisfatti. I servizi hackerati, addirittura, si sono rivelati non conformi o conformi solo parzialmente per ben dieci su dodici requisiti Pci Dss basilari. Qualche esempio? L'implementazone di test di sicurezza, la trasmissione crittografata dei dati, l'implementazione di procedure di autenticazione efficaci per chi effettua i login, la certezza di configurazioni sicure dei sistemi informatici, e ancora la capacità di gestire le vulnerabilità e il rischio informatico.

Il report si basa sullo studio di casi reali di aziende di più di trenta Paesi. Uno di questi è decisamente curioso: il caso di una società di servizi finanziari che ha scoperto di avere al proprio interno una rete wireless, intrinsecamente vulnerabile. La rete, si è poi scoperto, era opera di un responsabile It troppo pigro, che di sua iniziativa aveva installato un router per accesso ai server direttamente dalla propria scrivania, al terzo piano dell'edificio, evitando di doversi recare troppo spesso nella sala macchine nel seminterrato.

Casi curiosi a parte, va detto che lo scenario pare in miglioramento: fra il 2015 e il 2016, la percentuae di operatori “promossi” alla verifica provvisoria è salita dal 48,4% al 55,4%. E tuttavia, come precisato da Rodolphe Simonetti, global managing director for security consulting di Verizon, “tra le organizzazioni che hanno superato quest’analisi, quasi la metà non è più conforme nel giro di un anno, e altre ancora prima”. Insomma, le misure di sicurezza tese a proteggere le transazioni, i dati delle carte di pagamento e i dati dell'utente non andrebbero semplicemente applicate una tantum, bensì aggiornate di continuo per sperare di stare al passo con la rapida evoluzione del cybercrimine.

 

 

Molto spesso”, sottolinea Troy Leach, chief technology officer del Pci Security Standards Council, “gli ambienti dati dei titolari delle carte di credito rimangono in una situazione di vulnerabilità agli attacchi informatici. Questo trend è stato uno dei motori di cambiamento introdotti nella versione 3.2 del Pci Data Security Standard, che si concentra sul supporto alle organizzazioni nell’accertarsi che i requisiti di sicurezza dei dati più critici vengano applicati per tutto l’arco dell’anno, e che questi criteri vengano testati nel contesto di un procedimento costante di monitoraggio della sicurezza”.

Tra gli ambiti considerati dallo studio di Verizon, quello dei servizi It si è dimostrato il più virtuoso, potendo vantare una maggior percentuale di conformità ai requisiti in occasione della verifica provvisoria del 2016: il 61,3%. Seguono, nell'ordine, le aziende che si occupano di servizi finanziari e assicurazioni (59,1%), gli operatori del retail (50%) e il settore dell'hospitality (42,9%).

 

 

ARTICOLI CORRELATI