La mayoría de las organizaciones que aceptan tarjetas de pago no cumplen con el mantenimiento de las normas de seguridad PCI

Fecha: Mié, 19/03/2014 - 10:33

La falta de cumplimiento está vinculada a un incremento en el riesgo de brechas y a daños tanto financieros como en la reputación
La mayoría de las organizaciones que aceptan tarjetas de pago no cumplen con el mantenimiento de las normas de seguridad PCI Imagen cortesía de Verizon

Un nuevo informe de Verizon señala que, después de la evaluación anual de la norma de seguridad de los datos (DSS) del Sector de las Tarjetas de Pago (PCI), muchas empresas no mantienen el cumplimiento, con el consiguiente aumento del riesgo de que se produzca una brecha en los datos y daños tanto financieros como en la reputación. 
El Verizon 2014 PCI Compliance Report afirma que las operaciones con tarjetas de pago siguen siendo uno de los principales blancos de ataques y que la frecuencia con que se producen brechas en los datos parece haber aumentado. El Informe Nilson calcula que el fraude con tarjeta de crédito superó los 11 mil millones de dólares en 2012. 
Según el informe, en la mayoría de los casos, las brechas en los datos de las tarjetas de pago no son debidas a un fallo de la tecnología de seguridad o de la norma de seguridad de los datos PCI, sino que se deben a la falta de implementación apropiada del cumplimiento y las medidas de seguridad.
«Seguimos observando que muchas organizaciones consideran que el cumplimiento con PCI es algo que ocurre una vez al año, sin entender que exige su atención los 365 días del año» —explica Rodolphe Simonetti, director gerente de Práctica PCI de Verizon Enterprise Solutions.  
Como dato positivo, han subido los niveles de cumplimiento inicial con la norma PCI.  En 2013, más del 82 por ciento de las organizaciones cumplían con el 80 por ciento como mínimo de la norma PCI en la fecha de la evaluación de referencia anual, en comparación con solo el 32 por ciento en 2012. 
También existen distinciones regionales debido a las diferencias en la legislación sobre notificaciones de las brechas, los requisitos legales y los niveles de adopción.  En lo que respecta al cumplimiento del 80 por ciento como mínimo de los requisitos PCI, la región de Asia Pacífico ocupa el primer puesto con el 75 por ciento, seguida por Estados Unidos con el 56 por ciento y Europa con el 31 por ciento.
Las áreas cuyo cumplimiento presenta especial dificultad son las de pruebas de seguridad (23,8 por ciento); supervisión de seguridad y capacidad para detectar y responder a brechas en los datos (17 por ciento) y protección de datos confidenciales (55,6 por ciento).
«Cuando el cumplimiento no alcanza el 100%, las consecuencias negativas pueden ser importantes» —dice Simonetti—. «Hemos comprobado una y otra vez que la falta de cumplimiento deja a las organizaciones desprotegidas ante el robo de tarjetas de crédito, lo que puede resultar en pérdidas de cientos de millones de dólares si se incluyen todos los daños, sin contar la pérdida de la confianza de los consumidores y el impacto en la reputación de la marca. Las organizaciones tienen que replantearse el modo en que abordan el mantenimiento de un entorno que cumpla con PCI, ya sea dedicando más recursos o en colaboración con un proveedor de servicios gestionados de seguridad». 

El informe analiza en profundidad los 12 requisitos PCI
Además, el informe examina en detalle en qué medida las organizaciones cumplen los 12 requisitos PCI y ofrece recomendaciones para alcanzar y mantener el cumplimiento, además de explicar las consecuencias del incumplimiento de cada uno de los requisitos.
Simonetti afirma que las actividades de cumplimiento deben planificarse, integrarse en el gobierno, la seguridad y el cumplimiento de toda la organización, y automatizarse en la medida de lo posible para que sean sostenibles y rentables».

Los resultados del informe PCI se basan en evaluaciones reales
El informe se basa en los resultados de cientos de evaluaciones de la norma PCI DSS que el equipo de asesores cualificados en seguridad de PCI de Verizon ha llevado a cabo entre el año 2011 y el 2013. Al igual que la serie de Informes sobre Investigaciones de Brechas en los Datos (DBIR) de Verizon, este informe se basa en investigaciones de casos reales y es único en el sector. El informe de este año, el tercero de la serie, analiza datos de evaluaciones de la seguridad de los datos PCI, con especial atención a los sectores del comercio minorista, los servicios financieros y la hostelería en América del Norte, Europa y la región de Asia Pacífico.

 

valorar este articulo:
Su voto: Nada

Enviar un comentario nuevo

Datos Comentario
El contenido de este campo se mantiene como privado y no se muestra públicamente.
Datos Comentario
Datos Comentario
Enviar