PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Исследование Verizon: легко ли соответствовать стандарту PCI DSS?

Компания Verizon опубликовала свой третий доклад о поддержании соответствия стандарту PCI DSS, основанный на оценке более чем 500 компаний по всему миру. Итоги исследования показали, что степень соответствия стандарту повышается, но многие компании, обрабатывающие платежи, все еще не в состоянии поддерживать стандарт безопасности PCI.

PCI DSS - стандарт безопасности данных платежных карт, которого должны придерживаться все компании, обрабатывающие данные держателей карт. Соответствие этому стандарту ежегодно оценивается квалифицированными экспертами. В течение последних трех лет эксперты компании Verizon совершили около 4000 ежегодных оценок более чем 500 различных компаний.

Каждый год компания Verizon публикует доклад, содержащий анализ степени соответствия стандарту, достигнутой их клиентами(в основном крупные транснациональные корпорации). Соответственно, это исследование анализирует соответствие стандарту только среди тех компаний, которые проходили оценку у экспертов компании Verizon. Тем не менее, данное исследование является показателем изменения отношения к соблюдению стандартов. Третий ежегодный анализ демонстрирует, что компании повышают степень безопасности, но им все еще предстоит исправить многое. Например, более 82 % компаний соблюдают по крайней мере, 80% требований стандарта (который содержит 12 требований безопасности). В 2012 году такого уровня достигли только 32 % компаний.

На первый взгляд, подобная статистика противоречит реальности. За последние несколько месяцев мы наблюдали одни из самых больших нарушений в истории розничной торговли(Target, Neiman Marcus, Michaels - компании, соответствующие стандарту PCI DSS). Резонно предположить: если улучшилось соблюдение стандартов безопасности, не должно ли уменьшаться количество нарушений?

Однако, в докладе подчеркивается, что причиной данных нарушений являются не проблемы с технологией безопасности или соответствия стандарту, а скорее неспособность принять надлежащие меры по соблюдению безопасности. По словам Рудольфа Симонетти, управляющего директора Verizon, одной из причин является то, что многие организации склонны рассматривать соответствие стандартам лишь как единовременное ежегодное мероприятие, что и делает их уязвимыми – считают эксперты компании Verizon.

Большинство компаний, которые обеспечивают достижение ежегодного соответствия стандартам безопасности данных платежных карт (PCI DSS ), не в состоянии в дальнейшем поддерживать этот статус. В результате, согласно докладу компании Verizon, они часто подвержены потенциальным рискам утечки данных и другим угрозам безопасности.

Циске ван Остен, ведущий автор доклада имеет альтернативный взгляд. Он отметил, что количество кибератак на сектор розничной торговли постоянно растет. По его словам, из новостей мы слышим только об успешно совершенных атаках. Те же нападения, которые удается предотвратить благодаря соблюдению стандартов, "остаются за кадром".

В докладе Verizon анализирует соответствие каждому из двенадцати требований безопасности PCI DSS. Результаты исследования показали, что требование 5 (использование и регулярное обновление антивирусного программного обеспечения) является наиболее легкодостижимым - в среднем 95,9 % компаний в контрольной группе соблюдали данное требование. Требование 9 ( ограничение физического доступа к данным держателей карт) - соблюдали 94,9% исследованных компаний. Наиболее сложным для соблюдения оказалось требование 3 стандарта(обеспечение безопасного хранения данных о держателях карт). Этому требованию удалось соответствовать лишь 79,3 % компаний в контрольной группе.

Доклад также рассматривает региональные различия в обеспечении соответствия стандарту. Чуть менее трети (31%) опрошенных европейских компаний отвечает 80% требований стандартов PCI, в то же время в США число таких компаний достигает 65%, а в Азиатско-Тихоокеанском регионе 75%. Причины такого различия носят комплексный характер. Ван Остен предположил, что это могло быть сочетание как культурных так и правовых различий. В Азиатско-Тихоокеанском регионе соответствие стандарту является предметом гордости. В США оно уже рассматривается как преимущество для бизнеса или возможность для маркетинга. В Европе же компании придерживаются более прагматичных взглядов. Как только стоимость санкций, применяемых к компаниям, не соблюдающим стандарт, стала ниже стоимости самого обеспечения соответствия, многие компании решили не прилагать к соблюдению стандарта излишних усилий.

Но, по словам Симонетти , " если компании не соответствуют стандарту на все 100%, это является большой проблемой. При не соблюдении стандартов, компании, обрабатывающие платежные карты, подвергаются риску кражи информации о кредитных картах, что потенциально может стоить им сотни миллионов долларов, не говоря уже о потере доверия потребителей и о воздействии на репутацию бренда."

Источник: infosecurity-magazine.com

сообщество | исследования | pci dss
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 









Партнеры