Η έρευνα PCI διαπιστώνει ότι ορισμένοι έμποροι δεν χρησιμοποιούν λογισμικό προστασίας από ιούς

Οι καταναλωτές διατρέχουν μεγαλύτερο κίνδυνο να χάσουν τον έλεγχο των δεδομένων τους όταν συνεργάζονται με μικρότερους εμπόρους λιανικής, καθώς πολλοί δεν έχουν πραγματοποιήσει επενδύσεις για να συμμορφωθούν με το Πρότυπο Ασφαλείας Δεδομένων της Κάρτας Πληρωμών (PCI DSS) σύμφωνα με μια νέα έρευνα

Η έρευνα, η οποία κάλυψε 560 αμερικανικές και πολυεθνικές οργανώσεις, ζήτησε από τους ερωτηθέντες ποικίλες ερωτήσεις σχετικά με τις επενδύσεις τους και την ανάπτυξη τεχνολογίας για τη συμμόρφωση με το PCI DSS, το οποίο εισήχθη το 2005. Πρόκειται για βιομηχανικό πρότυπο που δημιουργήθηκε από μεγάλες εταιρείες πιστωτικών καρτών που έχουν σχεδιαστεί για την προστασία των δεδομένων πληρωμής των πελατών.

Η έρευνα διαπίστωσε ότι το 55% των οργανισμών εξασφάλιζε μόνο πληροφορίες για πιστωτικές κάρτες, αλλά όχι άλλα στοιχεία όπως το Social Security αριθμούς αδείας ή στοιχεία τραπεζικού λογαριασμού. Επίσης, μόνο το 28% των μικρότερων εταιρειών μεταξύ 501 και 1.000 υπαλλήλων συμμορφώνεται με το PCI DSS. Αυτό συμβαίνει με περισσότερο από το 70 τοις εκατό των μεγάλων εμπόρων με 75.000 ή περισσότερους υπαλλήλους που ισχυρίστηκαν ότι είναι συμβατοί.

"Εάν προχωρήσετε στις μεγαλύτερες οργανώσεις είναι πιο πιθανό να είστε ασφαλείς σήμερα ", δήλωσε ο Amichai Shulman, CTO για την Imperva, η οποία καθιστά το λογισμικό ασφάλειας για τις επιχειρήσεις να συμμορφώνεται με το PCI DSS. Η Imperva ανέθεσε την έρευνα από την Ponemon Institute, εταιρεία που διεξάγει έρευνες για την πολιτική προστασίας της ιδιωτικής ζωής και των πληροφοριών.

Ο βασικός λόγος για τον οποίο οι εταιρείες δεν συμμορφώνονται με το PCI DSS είναι το κόστος, δήλωσε ο Shulman. "Δεν πηγαίνουν στην προσπάθεια να συμμορφωθούν, επειδή είναι όλα ή τίποτα, έτσι δεν κάνουν σήμερα τίποτα", δήλωσε ο Shulman.

Μεγαλύτερες εταιρείες βρίσκουν κάπως πιο εύκολο να χειριστούν τα κόστη, είπε. Κατά μέσο όρο, οι εταιρείες δαπανούν περίπου το 35% των προϋπολογισμών τους για την ασφάλεια πληροφορικής σε συμμόρφωση με το PCI DSS.

Οι εταιρείες καρτών πληρωμής υποχρεώνουν τη συμμόρφωση και οι περισσότεροι έμποροι υποτίθεται ότι συμμορφώνονται μέχρι τώρα, σύμφωνα με πληροφορίες στο δικτυακό τόπο του Συμβουλίου Προτύπων Ασφαλείας PCI.

Η έρευνα έδειξε κάποια άλλα ενοχλητικά αποτελέσματα. Περίπου το 10% των ερωτηθέντων που δήλωσαν ότι ήταν συμβατά με το PCI DSS δήλωσαν ότι δεν χρησιμοποιούν βασικό λογισμικό ασφαλείας, όπως antivirus, τείχη προστασίας και SSL (Secure Sockets Layers), δήλωσε ο Shulman.

Η PCI δεν προβλέπει τη χρήση συγκεκριμένων αλλά προωθεί πρακτικές και γενικές συμβουλές, όπως τη χρήση ενός τείχους προστασίας και antivirus. Τα τελευταία χρόνια, οι πωλητές έχουν αναπτύξει προϊόντα για να διευκολύνουν την εφαρμογή του PCI DSS. Παρόλα αυτά, το αποτέλεσμα ήταν εκπληκτικό και ενδεικτικό ίσως να συνεχιστεί η σύγχυση ή η δυσκολία που έχουν ορισμένες επιχειρήσεις με το PCI DSS.

«Θα ήταν πολύ δύσκολο να εξηγήσω γιατί δεν χρησιμοποιώ SSL ως μέρος της συμμόρφωσής μου με την PCI», είπε. "Μου φαίνεται ότι υπάρχουν πάρα πολλά περιθώρια για παρερμηνείες της απαίτησης και οι εταιρείες το κακοποιούν."

Το PCI DSS βρίσκεται υπό αναθεώρηση και η έρευνα θα χρησιμοποιηθεί ως εισροή. Το Συμβούλιο Προτύπων Ασφαλείας PCI, το οποίο δημιουργήθηκε από μεγάλες εταιρείες πιστωτικών καρτών το 2006, συλλέγει ανατροφοδότηση έως τις 31 Οκτωβρίου σχετικά με αλλαγές σε μια νέα έκδοση του προτύπου, που πρόκειται να κυκλοφορήσει τον Σεπτέμβριο του 2010.