Bekijk alle channels
  • Home
  • Industry Wire
  • 80 procent van alle bedrijven slaagt niet voor tussentijdse PCI-compliance evaluatie

Industry Wire

80 procent van alle bedrijven slaagt niet voor tussentijdse PCI-compliance evaluatie

Het 2015 PCI compliance Report van Verizon wijst erop dat het nodig is voortdurend de focus op compliance te houden; gebrekkige compliance vergroot de kans op gegevensdiefstal

 

Bijna 80 procent van alle bedrijven slaagt niet voor de tussentijdse evaluatie van hun PCI-compliance en zijn daarmee kwetsbaar voor cyberaanvallen. Dit blijkt uit het 2015 PCI Compliance Report van Verizon dat vandaag gepubliceerd is (12 maart). In een tijd waarin meer dan twee derde van alle betalingen met een betaalpas wordt gedaan, en creditcardtransacties naar verwachting een totale waarde van meer dan 20 biljoen dollar zullen vertegenwoordigen in 2015, wordt voor organisaties die deze betalingsgegevens verwerken de beveiliging belangrijker dan ooit.

In de vierde editie van zijn jaarlijkse rapport evalueert Verizon de huidige stand van zaken op het gebied van Payment Card Industry Data Security Standard (PCI DSS)-compliance en hoe dit verband houdt met gegevenslekken bij internationale organisaties in de financiële dienstverlening, detailhandel, reisbranche en horeca.

Verizon’s cyber security onderzoek heeft sinds 2009 meerdere keren aangegeven dat organisaties die slachtoffer waren van een gegevenslek minder dan een gemiddelde compliance hadden met verschillende PCI DSS controles.

Door het verminderen van de kans op het lekken van gegevens kunnen bedrijven hun merken beter beheren, het vertrouwen van de klanten veilig stellen en uiteindelijk hoge kosten vermijden. Sterker nog, 69 procent van alle klanten is minder snel geneigd om zaken te doen met organisaties die slachtoffer zijn geworden van een datalek.

“Het cyber security landschap van dit moment is voortdurend aan het veranderen,” zegt Rodolphe Simonetti, managing director, professional services van Verizon Enterprise Solutions. “Het huidige landschap van cyberbedreigingen verandert constant”, aldus Simonetti. “Periodieke compliance is niet voldoende om betalingsgegevens effectief te beschermen. Het is van cruciaal belang om duurzame compliance te waarborgen. Dit moet onderdeel vormen van de dagelijkse activiteiten en de bredere beveiligingsstrategie.”

De belangrijkste onderzoeksresultaten van PCI 2015

De onderzoeksresultaten van dit jaar geven aan dat slechts 29 procent van alle bedrijven minder dan een jaar na hun succesvolle PCI DSS-audit nog steeds volledig aan de eisen voldoet. Hoewel de compliance en het voortdurende toezicht daarop het afgelopen jaar op een laag niveau bleven, heeft het nieuwe rapport ook positief nieuws te melden.

In 2014 werden bijna twee keer zoveel bedrijven in overeenstemming met de PCI-standaard bevonden als in 2013.

Simonetti: “De drie belangrijkste gebieden waar organisaties hun compliance-status verliezen zijn het regelmatig testen van de beveiligingssystemen, het onderhouden van beveiligde systemen en het beveiligen van opgeslagen data. Uit alle gegevenslekken die Verizon onderzocht, blijkt duidelijk dat geen enkel bedrijf op het moment van een incident volledig aan de PCI-eisen voldeed.”

Verdere belangrijke onderzoeksresultaten van het rapport zijn onder meer:

  • Tussen 2013 en 2014 steeg op 11 van de 12 eisen de overeenstemming, 60 procent van de onderzochte bedrijven voldeed aan tenminste een van de eisen.
  • De gemiddelde stijging bedroeg 18 procentpunten.
  • De grootste verbetering vond plaats op het gebied van authenticatie (eis 8).
  • Het enige gebied waarin sprake was van een daling, was het testen van beveiligingssystemen (eis 11). De gemiddelde compliance daalde hier van 40 naar 33 procent.

“Een ander zorgwekkende trend die in het 2015 PCI-rapport wordt gesignaleerd, is dat de databeveiliging nog altijd veel te wensen overlaat”, legt Simonetti uit. Het aantal gegevenslekken in de afgelopen 12 maanden en de omvang daarvan maken duidelijk dat de huidige technieken ontoereikend zijn om aanvallers een halt toe te roepen. In veel gevallen kunnen ze aanvallen niet eens vertragen. Organisaties zouden PCI DSS-compliance moeten beschouwen als een uitgebreide strategie voor informatiebeveiliging en risicobeheer. Een PCI DSS-evaluatie kan belangrijke beveiligingslacunes blootleggen die verholpen moeten worden, maar biedt geen garanties dat betalingsgegevens veilig is tijdens een aanval.

Het 2015 PCI Compliance Report van Verizon Enterprise Solutions  

De nieuwe editie van het jaarlijkse rapport is gebaseerd op onderzoeksgegevens die over een periode van drie jaar zijn verzameld. Deze omvatten de resultaten van PCI-audits die het PCI Qualified Security Assessors-team van Verizon uitvoerde in opdracht van voornamelijk Fortune 500-bedrijven en grote multinationals in meer dan 30 landen. Verizon besteedt in zijn nieuwe rapport uitgebreid aandacht aan elk van de 12 PCI-eisen. In dit rapport worden de onderzoeksresultaten afgezet tegen de 3.0-standaard, maar wordt ook naar de binnenkort te verschijnen 3.1-standaard gekeken.

Het huidige rapport geeft daarnaast aan hoe en op welke punten bedrijven die voor een compliance-evaluatie zijn geslaagd hun overeenstemming met de standaard verliezen. Daarnaast worden praktische aanbevelingen gedaan voor bedrijven die aan de eisen van de PCI-standaard willen blijven voldoen.

Net als de Data Breach Investigations Report-reeks van Verizon is het PCI-rapport gebaseerd op onderzoeksresultaten uit de praktijk. Dit is het enige rapport in zijn soort binnen de branche. Het analyseert de resultaten van PSS-evaluaties, met een specifieke focus op de financiële dienstverlening (30 procent), detailhandel (26 procent) en horeca (15 procent) in Noord-, Midden- en Zuid-Amerika (55 procent), Europa (23 procent) en Azië en het Stille Zuidzeegebied (22 procent).

Het PCI Report 2015 is te vinden op de website van Verizon.

Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.

Deel dit bericht