I nostri dati e i nostri soldi sono davvero al sicuro quando acquistiamo su Internet o eseguiamo operazioni di online banking? E quando utilizziamo un’app? Con un approccio un po’ da “addetti ai lavori”, Verizon ha affrontato, come ogni anno dal 2009, una tema che riguarda tutti, aziende e utenti comuni: la sicurezza dei pagamenti elettronici che transitano dal Web e dalle app. Il Pci Compliance Report di quest’anno, basato sui dati raccolti fra 2011 e 2013, ha evidenziato come la grande maggioranza delle aziende tra quelle che hanno completato gli assessment annuali richiesti dal Payment Card Industry (Pci) Data Security Standard (Dss) non rispettino la conformità su base continuativa.
Il numero di aziende che passano i test è calato negli anni
Appena poco più di
una su dieci, l'11,1%, dimostra di rispettare tutti i 12 requisiti del Data Security Standard nel momento in cui viene eseguito l’assessment per la prima volta. Si tratta, sostanzialmente, di un
test che valuta i principali fattori di rischio It nei processi di pagamento con carta di credito, e che quindi si applica a tutti quegli operatori che maneggiano dati di carte di credito, come i retailer che vendono beni o servizi online. Fra gli aspetti valutati rientrano la prevenzione, la capacità di individuare, respingere e reagire agli incidenti di sicurezza.
È noto come le transazioni con carte di pagamento siano un obiettivo fortemente bersagliato dagli hacker, poiché tra le attività di furto di dati sono quella più facilmente monetizzabile. In particolare, tre quarti (74%) degli attacchi rivolti a retailer, operatori del settore ricettivo e della ristorazione/largo consumo riguardano il furto di dati di carte di credito (
Verizon Data Breach Investigations Reports, 2011, 2012 e 2013).
Ora, spiega Verizon, stiamo per attraversare un
passaggio cruciale. Non solo perché nel mondo crescono le operazioni di pagamento elettronico, anche mobile, e parallelamente continuano ad aumentare le attività criminali che sfruttano eventuali falle di sicurezza (basti citare un recente allarme lanciato dall’Fbi relativamente a un malware che ha già rubato i dati di oltre 100 milioni di carte di credito utilizzate online). Ma anche perché stanno cambiando i criteri di giudizio su che cosa sia considerato davvero “sicuro” oppure “a rischio”.
Dopo dieci anni, l’attuale standard Pci Dss 2.0 sta per essere pensionato, con il subentro del
Pci Dss 3.0, già effettivo dall’inizio di quest’anno per le aziende che volessero sottoscriverlo, e obbligatorio dall’inizio del prossimo. Che cosa cambia? Le nuove regole coprono un maggior numero di tecnologie e processi, quali
l’encryption, il controllo degli accessi e la scansione delle vulnerabilità, con lo scopo di fornire agli operatori miglori e più complete linee guida.
Lo scenario attuale non è confortante. Secondo Verizon, l’approccio del Dss 3.0 è significativamente più severo, e molte aziende dovranno sicuramente colmare un gap iniziale di compliance nel passaggio dallo standard precedente a quello nuovo. “A dispetto di una decade di discussioni, chiarimenti e formazione in merito", si legge nel report, "esistono ancora una basilare disaccordo e fraintendimenti circa le aree critiche della sicurezza e della compliance, inclusi il modo in cui dev'essere definita la valutazione della compliance stessa e il modo in cui dev'essere accertata”.
Il costo crescente delle frodi legate al furto di dati di pagamento
“Le organizzazioni dovranno fare uno sforzo ulteriore per prepararsi all’ottenimento della compliance”, suggerisce Verizon. “Riteniamo che il 2014 sarà un anno cruciale per gli standard della Payment Card Industry, per le organizzazioni che cercano di soddisfarli e per le aziende che le possono aiutare”.
Presumibilmente, nel corso dell'anno l'impatto del nuovo Dss 3.0 sarà già visibile. Lo si noterà, per esempio, nella fase di valutazione dei livelli di conformità, nella gestione del rischio, nel trattamento dei dati, nonché in una maggiore adozione del
point-to-point encryption (P2PE) come concreto strumento di protezione dalle frodi. Quest’ultimo elemento, si legge nel report, è “forse, almeno per i retailer, la più importante opportunità degli ultimi anni di semplificare i loro sforzi per la Pci compliance”.
Accanto alle tecnologie, possono aiutare anche le regole generali. Verizon ne suggerisce cinque, utili per procedere sulla via della compliance “3.0”:
non sottovalutare lo sforzo richiesto, in termini di denaro, tempo e impegno dei dipententi e del personale It; perseguire una
compliance sostenibile nel tempo e integrata nel business; pensare alla compliance come
parte di contesto più ampio, fatto di strategie di governace e di contenimento del rischio; considerarla non come un peso bensì come un’
opportunità di miglioramento dei processi aziendali; infine,
focalizzarsi sull'analisi preliminare, per esempio imparando a conservare meno dati e a disperderli su un minor numero di sistemi.