Nonostante molte aziende tentino di mantenere al proprio interno figure come Ciso o responsabili della sicurezza qualificati, la mancanza di una strategia di lungo termine in ambito security sta danneggiando gravemente la conformità al Payment Card Industry Data Security Standard (Pci Dss). A segnalarlo è il Payment Security Report 2020 (Psr 2020) di Verizon Business, arrivato alla decima edizione.

Secondo il Psr 2020 in media solo il 27,9% delle organizzazioni globali ha mantenuto la piena conformità al Pci Dss, lo standard sviluppato per aiutare le aziende, che offrono servizi di pagamento con carta, a proteggere i propri sistemi da violazioni e furti dei dati dei clienti. Ancora più preoccupante è il fatto che questo sia il terzo anno consecutivo in cui si è verificata una diminuzione della compliance. Dal 2016, anno in cui è stato registrato il dato più alto relativamente al rispetto dei criteri di sicurezza (così come ha attestato il Psr 2017), il decremento è infatti di 27,5 punti percentuali.

Il report punta i riflettori anche sui test di sicurezza, ambito nel quale solo poco più della metà delle organizzazioni (51,9%) testa con successo i propri sistemi e processi di security, nonché l'accesso non monitorato al sistema. Da rilevare anche il fatto che soltanto i due terzi delle organizzazioni traccia e monitora l'accesso ai sistemi critici aziendali in modo adeguato. Sempre secondo il Psr 2020 solo sette istituzioni finanziarie su 10 (70,6%) mantengono controlli di sicurezza perimetrali essenziali.

Le Pmi hanno, relativamente alla protezione dei dati di pagamento, maggiori difficoltà. Infatti, sebbene rispetto alle aziende più grandi debbano elaborare e archiviare meno dati di carte di pagamento, hanno anche risorse e budget inferiori per la sicurezza. Questo influisce sulle strategie attuabili per mantenere la conformità con il Pci Dss.

Il rapporto esplora anche le sfide che i Ciso devono affrontare nella progettazione, implementazione e nel mantenimento di una strategia di sicurezza efficace e sostenibile, e il modo in cui queste possono contribuire alla compliance e alla gestione della sicurezza dei dati. I problemi riscontrati non sono di natura tecnologica, quanto piuttosto il risultato di debolezze organizzative. Queste potrebbero essere risolte da capacità di management più avanzate, che includano anche la creazione di processi formalizzati volti a costruire un modello di business per la sicurezza e definire una solida strategia di security con modelli operativi e framework.