Meeste organisaties die creditcardbetalingen accepteren voldoen niet aan PCI-veiligheidsnormen

AMSTERDAM – Een nieuw rapport van Verizon laat zien dat teveel bedrijven er na hun jaarlijkse audit voor de Payment Card Industry (PCI) Data Security Standard (DSS) niet in slagen aan deze richtlijnen te blijven voldoen. Hierdoor stellen zij hun organisaties bloot aan een verhoogde kans op gegevensdiefstal, financiële schade en reputatieverlies.

Het “Verizon 2014 PCI Compliance Report” bevestigt dat creditcardtransacties een belangrijk doelwit blijven voor cybercriminelen. De frequentie waarmee gevallen van gegevensdiefstallen optreden, lijkt bovendien toe te nemen. The Nilson Report, de meest gerespecteerde nieuwsbrief in de betaalindustrie, schat dat de wereldwijde schade als gevolg van creditcardfraude alleen al in 2012 de 11 miljard dollar overtrof.

Volgens het rapport van Verizon valt diefstal van creditcardgegevens in de meeste gevallen niet te wijten aan falende beveiligingstechnologie of het niet voldoen aan de PCI DSS-regels. De oorzaak is veelal het niet implementeren van de juiste beveiligings- en nalevingsmaatregelen na de jaarlijkse audit. “We blijven constateren dat veel bedrijven PCI-compliance nog altijd als een eenmalige, jaarlijks terugkerende gebeurtenis zien. Ze lijken niet te beseffen dat compliance 365 dagen per jaar aandacht vereist,” zegt Rodolphe Simonetti, managing director PCI Practice, Verizon Enterprise Solutions.

Maar er staat ook een lichtpuntje in het rapport: de naleving van de PCI-norm vertoont tekenen van verbetering. In 2013 voldeed meer dan 82 procent van alle organisaties op het moment van hun jaarlijkse evaluatie aan minimaal 80% van alle PCI-eisen. In 2012 bedroeg dit percentage nog slechts 32 procent. Daarnaast was er sprake van regionale verschillen vanwege meldingswetten voor gegevensdiefstal, uiteenlopende wettelijke voorschriften en de mate van adoptie. De Aziatisch-Pacifische regio liep met 75 procent op kop, gevolgd door de Verenigde staten (56 procent) en Europa (31 procent), wat betreft het percentage bedrijven dat aan minimaal 80 procent van de PCI-eisen voldeed

Gebieden waarin bedrijven moeite hebben aan de eisen te voldoen zijn onder meer het testen van de beveiliging (23,8 percent), het monitoren van de beveiliging en het vermogen gegevensdiefstal effectief te detecteren en hierop te reageren (17 procent) en het beschermen van opgeslagen gevoelige data (55,6 procent). “Een compliance-percentage onder de 100 procent is tegenwoordig per definitie een probleem voor bedrijven,” aldus Simonetti. “We zien telkens opnieuw dat het niet naleven van PCI DDS bedrijven gevoelig maakt voor diefstal van creditcardgegevens. Dit kan hen in potentie honderden miljoenen dollars kosten als je alle schade bij elkaar optelt. En dan hebben we het nog niet eens over het verlies van vertrouwen van klanten en de negatieve gevolgen voor de bedrijfsreputatie. Bedrijven moeten opnieuw nadenken over het onderhouden van een omgeving die aan de PCI-eisen blijft voldoen. Dit kan betekenen dat ze meer personeel inschakelen of gaan samenwerken met een leverancier van managed security diensten.”

Gedetailleerde onderzoeksresultaten voor elk van de 12 PCI-eisen

Het rapport van Verizon biedt een gedetailleerde analyse van de mate waarin organisaties voldoen aan elk van de 12 specifieke eisen van de PCI-norm. Het biedt daarnaast aanbevelingen die bedrijven kunnen toepassen om voor een duurzame naleving van de richtlijnen te zorgen. Het rapport legt verder uit op welke manier het niet naleven van elk van de 12 eisen kan resulteren in gegevensdiefstal. Simonetti geeft aan dat “compliance-activiteiten vragen om een effectieve planning, integratie met bedrijfsbrede initiatieven op het gebied van governance, beveiliging en compliance en automatisering waar mogelijk om duurzame en kostenefficiënte resultaten te kunnen boeken.”

 

Onderzoeksresultaten op basis van praktijkgevallen

Het rapport is gebaseerd op de resultaten van honderden PCI DSS-audits die tussen 2011 en 2013 werden uitgevoerd door Verizons team van PCI Qualified Security Assessors. Net als de Data Breach Investigations Reports (DBIR’s) van Verizon maakt het PCI Compliance Report gebruik van onderzoeksgegevens uit de praktijk en wordt het beschouwd als het enige in zijn soort binnen deze branche. Het PCI Compliance Report van dit jaar (de derde editie) analyseert de resultaten van PCI Data Security-audits met een specifieke focus op de retail, financiële dienstverlening en horecasector in de Verenigde Staten, Europa en de Aziatische-Pacifische regio.

Meer onderzoeksresultaten en aanbevelingen zijn te vinden in het volledige rapport, dat beschikbaar is als download op www.verizonenterprise.com/pcireport/2014/. Lezers kunnen ondersteunende informatiebronnen opvragen via het Verizon PCI Report Resource Center.

Verizon Communications Inc. (NYSE, NASDAQ: VZ) met hoofdkantoor in New York, is wereldwijd marktleider in het leveren van breedband en andere draadloze en bekabelde communicatieoplossingen aan consumenten, bedrijven, de overheid en groothandelaren. Verizon Wireless exploiteert het meest betrouwbare draadloze netwerk in de VS met meer dan 103 miljoen aansluitingen door het land. Daarnaast biedt Verizon geconvergeerde communicatie, informatie- en entertainmentdiensten via het meest geavanceerde glasvezelnetwerk van de VS en levert het bedrijf wereldwijd geïntegreerde bedrijfsoplossingen aan klanten in meer dan 150 landen. Verizon, een Dow 30 genoteerd bedrijf, met meer dan $120 miljard omzet in 2013, heeft 176,800 medewerkers. Voor meer informatie, bezoek www.verizon.com.