Σύμφωνα με μια έκθεση που δημοσιεύτηκε πρόσφατα από τη Verizon, η ασφάλεια των ηλεκτρονικών πληρωμών συνεχίζει για δεύτερη χρονιά να μειώνεται, αφού μόνο 1 στις 5 εταιρείες λαμβάνει τα απαραίτητα μέτρα.
Η έκθεση Payment Security Report της Verizon για το 2019, διαπίστωσε ότι η πλήρης συμμόρφωση με το Payment Card Industry Data Security Standard (PCI DSS) μειώθηκε στο 36,7% από 52,5% που ήταν το 2018 σε παγκόσμιο επίπεδο. Το πρότυπο PCI DSS, το οποίο δημιουργήθηκε το 2004 από τη Visa, παρέχει μερικές κατευθυντήριες γραμμές σχετικά με την ασφάλεια των συναλλαγών μέσω καρτών και δίνει ένα περιθώριο 5 ετών σε κάθε εταιρεία να συμμορφωθεί με αυτές τις υποδείξεις. Από το 2010 έως το 2016 υπήρξε μία άνοδος της συμμόρφωσης, η οποία όμως στη συνέχεια περιορίστηκε και πάλι. Και είναι ακριβώς αυτή η έλλειψη συμμόρφωσης που προκαλεί πολλά θέματα με την ασφάλεια.
Οι εταιρείες στην Ασία και την περιοχή του Ειρηνικού, έχουν την υψηλότερη συμμόρφωση με τα πρότυπα PCI DSS σε ποσοστό 69,6% για πλήρη συμμόρφωση, ενώ η Ευρώπη, η Μέση Ανατολή και η Αφρική ακολουθούν με ποσοστό 48%. Στην Αμερική αντίθετα, μόνο το 20,4% παρουσιάζει πλήρη συμμόρφωση με το PCI DSS.
Μέρος του προβλήματος είναι ότι η συμμόρφωση με τα πρότυπα PCI DSS αφορά σε μεγάλο βαθμό την παρουσίαση ελέγχων μέσω μελετών, για την προστασία των δεδομένων και του ιδιωτικού απορρήτου, αλλά τα προγράμματα συμμόρφωσης συχνά αποτυγχάνουν εναντίον των απειλών στον πραγματικό κόσμο.
Η έκθεση της Verizon βασίζεται σε 302 δεσμεύσεις του PCI DSS με παγκόσμιες εταιρείες.
Σύμφωνα με τη Verizon, η συμμόρφωση μιας εταιρείας με το πρωτόκολλο PCI DSS δεν εγγυάται ότι δεν θα υποστεί παραβίαση των δεδομένων της, αλλά μειώνει δραστικά τις πιθανότητες.
Συνολικά, το πρότυπο PCI DSS έχει 12 απαιτήσεις που ομαδοποιούνται σε έξι τομείς όπως η δημιουργία και η διατήρηση ενός ασφαλούς δικτύου και συστημάτων, η προστασία των δεδομένων των κατόχων καρτών, η διατήρηση ενός προγράμματος διαχείρισης ευπαθειών, η εφαρμογή ισχυρών μέτρων ελέγχου, η τακτική παρακολούθηση και δοκιμή των δικτύων και η διατήρηση της πολιτικής ασφάλειας πληροφοριών.
Σε ό, τι αφορά αυτές τις απαιτήσεις, οι περισσότερες εταιρείες στην έκθεση της Verizon διατηρούν τείχη προστασίας, αλλάζουν τις προεπιλογές των παρόχων, προστατεύουν τα δεδομένα των κατόχων καρτών, προστατεύουν από κακόβουλα λογισμικά, περιορίζουν την πρόσβαση και κρυπτογραφούν τα δεδομένα, αλλά αποτυγχάνουν στα συστήματα και τις διαδικασίες διαχείρισης και δοκιμής ασφάλειας.
