Infriandet av säkerhetskrav för betalningar sjunker
Efter att ha dokumenterat förbättringar för Payment Card Industry Data Security Standard (PCI DSS)-arbetet och själva förmågan att infria kraven de senaste sex åren (2010 – 2016) visar nu Verizon Payment Security Report 2018 (PSR) en nedåtgående trend där företagen misslyckas med bedömningar för hur väl de infriat kraven i PCI DSS.
PCI DSS hjälper företag som erbjuder kortbetalning att skydda betalningssystem från intrång och stöld av betalkortsdata. Att uppfylla kraven för PCI DSS har visat sig (via Verizon Data Breach Investigations Report-serien) hjälpa till att skydda betalningssystem från både dataintrång och stöld av kortinnehavarnas data, så trenden är därför extra alarmerande.
Data insamlad via Verizons PCI DSS-kvalificerade säkerhetsutvärderare (QSAer) under 2017 visar att förmågan att uppfylla PCI-kraven minskar, då endast 52,4 % av globala organisationer låg i linje med PCI-kraven under 2017, jämfört med 55,4 % 2016. Geografiska skillnader visar att företag i Asien och Stillahavsområdet mer sannolikt uppfyller kraven fullt ut (77,8 %), jämfört med de Europa- (46,4 %), Nord- och Sydamerika-baserade (39,7 %) företagen. Dessa skillnader kan härledas till tidpunkten för olika geografiska strategier för infriandet av kraven, kulturell uppskattning av utmärkelser/erkännande samt IT-systemens mognadsgrad.
Bland de olika sektorerna ligger IT-tjänstesektorn i topp med att infria kraven där över tre fjärdedelar av organisationerna (77,8 %) ligger helt i linje med regelverket. Handelssektorn (56,3 %) och finansiella tjänstesektorn (47,9 %) låg långt före hotell- och restaurangsektorn (38,5 %), vilken uppvisade lägst hållbarhet när det kommer till att uppfylla kraven. Där företag ofta drar nytta av arbetet med att infria PCI DSS för att möta säkerhetskraven för dataskyddslagar, som European Data Protection Regulation (GDPR), är gapet mellan dessa olika sektorer som handskas med elektroniska betalningar på daglig basis stort.
– Att uppfylla PCI-standarderna är något som minskar bland globala företag, vilket är en trend som helt enkelt måste brytas. Konsumenter och leverantörer litar på att företagen skyddar deras betalningsdata. Detta måste rättas till omgående. Vi uppmanar företag att tänka över sina mätmetoder för effektiviteten bakom deras PCI-kontroller och att koncentrera sig på att hantera hållbarheten i sitt dataskydd, säger Rodolphe Simonetti, global managing director, security consulting, Verizon.
Effektiv kontroll och hållbarhet är nödvändigt
– Verizon har legat i framkant för säkerhet kring betalkortsdata sedan 2003 genom ett tätt samarbete med PCI-communityn, för att driva på ett fullt infriande av PCI DSS-kraven. Baserat på vår expertis och erfarenhet har vi utvecklat nio faktorer som hjälper företag att upprätthålla infriandet av kraven. Vårt mål är att erbjuda en tydlig struktur och metodik för att underlätta för de som arbetar med att uppfylla PCI-kraven och att rusta dem för en dialog med sina styrelsemedlemmar genom att göra narrativet mer lättförståeligt. För att processer för infriande av PCI-kraven ska vara effektiva måste de drivas från toppen. Dock kommuniceras idag sällan framsteg eller utmaningar tillräckligt tydligt för att ledningen ska kunna hänga med, fortsätter Simonetti.
Följande av Verizons nio faktorer för kontrolleffektivitet och hållbarhet stöder de 12 huvudkraven i PCI DSS-standarden:
- Faktor 1: Kontrollmiljö: Hållbarheten och effektiviteten av de 12 huvudkraven är beroende av en hälsosam kontrollmiljö.
- Faktor 2: Kontrolldesign: Ett korrekt kontrollutförande för att möta målen med säkerhetskontroller för PCI DSS behövs en sund kontrolldesign.
- Faktor 3: Kontrollrisk: Utan löpande underhållskontroller (säkerhetstester, riskhantering etc.) kan kontroller försämras över tid och till slut upphöra att fungera. Att ta hand om misslyckade kontroller kräver integrerad hantering av Kontrollrisk.
- Faktor 4: Kontrollens robusthet: Kontroller används i dynamiska företag och miljöer med ständigt föränderlig hotbild. De måste vara robusta nog att motstå ofrivilliga förändringar för att fortsätta fungera och prestera mot specifikationer (konfigurera standarder, åtkomstkontroll, systemhärdning etc.).
- Faktor 5: Kontrollens flexibilitet: Säkerhetskontroller kan potentiellt fallera även om du adderar lager av kontroll för ökad robusthet, vilket gör flexibilitet för kontroller med proaktiv upptäckt och snabb återhämtning från misslyckanden viktigt för effektivitet och hållbarhet.
- Faktor 6: Lifecycle management för kontrollen: För att infria alla faktorerna ovan är det nödvändigt att övervaka och aktivt hantera säkerhetskontroller genom hela dess livscykel, från det att de skapas till dess att de tas ur bruk.
- Faktor 7: Prestandahantering – Att etablera och kommunicera standarder för prestanda för att mäta den faktiska prestandan av kontrollmiljön förbättrar kontrollaktiviteter, samt främjar förutsägbara resultat av dina dataskydd och aktiviteter för att uppfylla PCI-kraven, för att i sin tur möjliggöra tidig identifiering och korrigering av prestandaskillnader.
- Faktor 8: Ett mått för mognadsgrad – en kontrollmiljö bör aldrig stagnera, utan måste förbättras kontinuerligt. För detta behöver företagen en plan, en målsättningsnivå för processer och en mognad för att spåra graden av formalitet och optimering av processer som en indikation på hur nära utvecklingsprocesserna är att bli kompletta och förmögna att kontinuerligt förbättras.
- Faktor 9: Självutvärdering – För att uppnå alla punkter ovan krävs in-house-effektivitet- resurskapacitet (människor, processer och teknik), förmåga (att stödja processer), kompetens (skicklighet, kunskap, processer och teknik) och hängivenhet (viljan att konsekvent lyssna till krav på att infria PCI-ramverket) – kortfattat, en skicklighet i självbedömning.
– Att dela data och att samarbeta mellan olika branscher är avgörande för att förstå den övergripande hotbilden, samt för att föra global betalningssäkerhet framåt. Något som tydligt framgår i denna rapport är att organisationer fortsätter att ställas inför utmaningar med att behålla en hög säkerhetsnivå och att visa en konstant förmåga att upprätthålla PCI-kraven i föränderliga miljöer. Organisationer borde titta noga på rapportens resultat för att ligga i linje med de viktigaste lärdomarna kring hur de fortsatt kan upprätthålla en fullgod säkerhetsnivå. Att uppfylla regelmässiga krav bör aldrig ses som slutmålet för säkerhetsarbetet, utan snarare som ett mått för en organisations fortsatta framgång i att skydda data, säger Troy Leach, Chief Technology Officer, PCI Security Standards Council.