Compliance för betalsäkerhet har sjunkit för andra året i rad, där organisationer i Amerika släpar efter de globala företagen visar Verizons 2019 Payment Security Report (2019 PSR).
När Visa Inc. lanserade PCI DSS under 2004 var det många som antog att organisationer skulle uppnå en effektiv och hållbar standard inom fem år. Nu, 15 år senare har antalet företag som uppnår och lyckas behålla en korrekt betalsäkerhetsstandard sjunkit från 52,5 % (2018 PSR) till den låga siffran 36,7 % globalt. Geografiskt sett är det organisationer i Asien- och Stillahavsområdet (APAC) som visar en starkare förmåga att behålla en komplett standard till 69,6 %, jämfört med 48 % i Europa, Mellanöstern och Afrika (EMEA) och bara 20,4 % (1 av 5) i Amerika.
PCI DSS hjälper företag som erbjuder betalkortstjänster att skydda deras betalsystem från intrång och stöld av korthållarnas data, som det visas i Verizon Data Breach Investigations Report-serien. Compliance mäts på en organisations förmåga att möta – och viktigast av allt – att upprätthålla standarden.
”Efter att ha bevittnat en gradvis ökande compliance från 2010 till 2016 ser vi nu en oroande nedåtgående trend och allt större geografiska skillnader”, sa Rodolphe Simonetti, global managing director, security consulting på Verizon. ”Vi ser ett större antal organisationer som inte kan uppnå och behålla kraven för att ligga i linje med PCI DSS, något som har en direkt påverkan på säkerheten för kundernas betaldata. Med den senaste versionen av PCI DSS 4.0 som lanseras snart har företagen möjlighet att vända på denna trend genom att tänka om kring hur de implementerar och strukturerar upp sina program för compliance”.
Nytt ramverk från Verizon hjälper företag att navigera standarden för betalsäkerhet
Dataskydd och compliance presenterar dagliga utmaningar. Många organisationer tror att de kan använda samma mall som alla andra för att uppnå ett effektivt och hållbart dataskydd, något som inte fungerar då säkerhet är allt mer komplicerat än så.
Simonetti fortsätter, ”Många organisationer spenderar mycket tid och pengar på att skapa dataskyddsprogram för att upprätthålla PCI DSS-standarden, men ofta är dessa ineffektiva. De ser bra ut på papper men skulle inte stå pall för en professionell säkerhetsbedömning. Vi ser fortfarande Chief Information Security Officers som fokuserar på att behålla grundläggande kontrollaktiviteter snarare än att se på mognad och kompetens inom dataskydd. Det som behövs är en tydlig guide som är enkel att förstå och som kan hjälpa till att leverera mätbara resultat och förutsägbara utfall”.
I tidigare Payment Security Reports, utvecklade Verizon metodik för att hjälpa organisationer att hantera sina Data Protection Compliance Programs (DPCPs). Dessa har nu kombinerats till att bilda Verizon 9-5-4 Compliance Program Performance Framework – en guide som hjälper till att utveckla och förbättra förmåga och processmognad.
Nya 9-5-4 Framework är utformat för att hjälpa organisationer att uppnå konsekventa och förutsägbara utfall. Detta genom att erbjuda vägledning kring hur de ska kartlägga, övervaka och rapportera status kring hållbarheten och effektiviteten för varje av de 9 Factors of Control Effectiveness and Sustainability. Detta innefattar kontrollmiljö, kontrolldesign, kontrollrisk, kontroll-robusthet, livscykelhantering för kontroller, prestandahantering, mognadsmätning och själv-bedömning. Detta gäller för varje av de viktigaste fyra måtten av försäkran – individuell ansvarighet, riskhanterings- och compliance-teams, intern granskning, extern granskning och regulatorer. Detta uppnås genom att utvärdera 5 Constraints of Organizational Proficiency vilka är kapacitet, förmåga, kompetens, engagemang och kommunikation.
Länken mellan bristande kompetens och dataintrång
Rapporten innefattar också data från Verizon Threat Research Advisory Center (VTRAC) vilka visar på att ett compliance-program utan de rätta kontrollerna för att skydda data har mer än 95 % sannolikhet att inte vara hållbart och är mer sannolikt att bli ett potentiellt mål för en cyberattack.
”I åratal har vi diskuterat den tydliga korrelationen mellan att inte lyckas upprätthålla PCI DSS och cyberintrång”, sammanfattar Simonetti. ”I årets rapport har vi inkluderat ännu mer data från Verizons VTRAC-team, författarna bakom Verizons Data Breach Investigation-rapportserien, för att addera mer djup i denna diskussion. Vår data visar att vi aldrig har undersökt ett betalkortssäkerhetsintrång för en organisation som ligger i fas med PCI DSS. Compliance fungerar!”.