Minder bedrijven voldoen aan voorschriften betalingsbeveiliging

Toen Visa Inc. in 2004 de Payment Card Industry Data Security Standard (PCI DSS) introduceerde, gingen velen ervan uit dat organisaties binnen vijf jaar structureel aan de regels zouden voldoen. Maar nu, vijftien jaar later, is het aantal bedrijven wereldwijd dat de regels naleeft en handhaaft gedaald van 52,5 procent (PSR 2018) naar slechts 36,7 procent. Dit blijkt uit het Verizon 2019 Payment Security Report. Als naar geografische ligging wordt gekeken, blijkt dat organisaties in de regio Azië-Pacific (APAC) beter in staat zijn om de regels volledig na te leven met 69,6 procent. In Europa, het Midden-Oosten en Afrika (EMEA) ligt dit percentage op 48 procent. Bedrijven op het Amerikaanse continent scoren slechts 20,4 procent.

PCI DSS helpt bedrijven die betaalkaartmogelijkheden aanbieden om hun betaalsystemen te beschermen tegen lekken en diefstal van kaarthoudergegevens. Naleving wordt gemeten op basis van het vermogen van een organisatie om aan de standaard te voldoen – en belangrijk, deze te handhaven.

“Na een geleidelijke toename van de nalevingsgraad tussen 2010 en 2016 zien we nu een zorgwekkende neerwaartse trend en toenemende geografische verschillen”, aldus Rodolphe Simonetti, Global Managing Director for Security Consulting bij Verizon. “We zien steeds meer organisaties die niet in staat zijn om aan de vereisten voor PCI DSS te voldoen, wat een directe impact heeft op de veiligheid van de betalingsgegevens van hun klanten. Met de komst van de PCI DSS-standaard 4.0 hebben bedrijven de kans om deze trend om te buigen. Dit doen zij door opnieuw na te denken over hoe ze hun nalevingsprogramma’s implementeren en inrichten.”

Gegevensbescherming en naleving zorgen voor dagelijkse uitdagingen. Veel organisaties denken dat ze een standaardaanpak kunnen hanteren om de gegevens effectief en blijvend te beschermen. In de praktijk is de beveiliging echter ingewikkelder.

Simonetti vervolgt: “Veel organisaties besteden veel tijd en geld aan het opzetten van nalevingsprogramma’s voor gegevensbescherming. Vaak zijn deze programma’s echter niet effectief. Ze zien er op papier goed uit, maar zijn niet in staat om de toetsing van een professionele beveiligingsbeoordeling te doorstaan. We zien nog steeds dat Chief Information Security Officers zich richten op het handhaven van de minimum beveiligingscontroles. Zij zouden echter moeten kijken naar de competentie en volwassenheid van de gegevensbescherming. Er is behoefte aan een duidelijke en eenvoudig te begrijpen handleiding om hen te helpen meetbare resultaten en voorspelbare uitkomsten te leveren.”

Het rapport bevat ook gegevens van het Verizon Threat Research Advisory Center (VTRAC). Daaruit blijkt dat een nalevingsprogramma zonder de juiste controles om gegevens te beschermen een kans van meer dan 95 procent heeft om niet levensvatbaar te zijn. Daarnaast is de kans groter dat dit programma het doelwit van een cyberaanval is.

“We hebben het al jaren over de nauwe correlatie tussen het gebrek aan PCI DSS-naleving en cyberaanvallen”, concludeert Simonetti. “In het huidige rapport hebben we nog meer gegevens van het Verizon VTRAC-team, de auteurs van Verizons Data Breach Investigation-serie, gebruikt om meer diepgang te geven aan de discussie. Uit onze gegevens blijkt dat we nog nooit een lek in de beveiliging van betaalkaarten hebben vastgesteld bij een organisatie die voldoet aan de PCI DSS-normen. Naleving werkt!”