'Naleving betalingsbescherming daalt voor het eerst in zes jaar'

  1. 26 sep 2018
  2. 0 reacties
verizon

Na het constateren van verbeteringen in de naleving van de Payment Card Industry Data Security Standard (PCI DSS) in de afgelopen zes jaar (2010 - 2016), onthult Verizons 2018 Payment Security Report (PSR) nu een zorgwekkende neerwaartse trend van bedrijven die de nalevingsbeoordelingen achterwege hebben gelaten en misschien, nog belangrijker, de volledige handhaving niet naleven.

De Payment Card Industry Data Security Standard (PCI DSS) helpt bedrijven die betaalkaartmogelijkheden bieden hun betaalsystemen te beschermen tegen datalekken en diefstal van gegevens van kaarthouders. Naleving van de PCI DSS zorgt er aantoonbaar (via de Verizon Data Breach Investigations Report-serie) voor dat betalingssystemen beschermd worden tegen zowel datalekken als diefstal van kaarthoudergegevens. Deze trend is dus alarmerend.

Gegevens verzameld door Verizons PCI DSS-deskundigen (QSA's) in 2017 laten zien dat de PCI-naleving wereldwijd afneemt. Slechts 52,4 procent van de organisaties voldeed in 2017 aan alle eisen, in 2016 was dat nog 55,4 procent. Er zijn wel regionale verschillen. Bedrijven in APAC leven de regels relatief vaak (77,8 procent) volledig na. In Europa (46,4 procent) en Amerika (39,7 procent) komt dat minder vaak voor. Deze verschillen kunnen verklaard worden door de timing van geografische uitrolstrategieën, de culturele waardering van onderscheidingen/erkenning of de volwassenheid van IT-systemen.

Er zijn ook verschillen tussen bedrijfssectoren. IT-dienstverleners staan aan de top als het gaat om naleving, met meer dan driekwart van de organisaties (77,8 procent) die de volledige status bereiken. Retail (56,3 procent) en financiële dienstverleners (47,9 procent) lagen aanzienlijk voor op horecabedrijven (38,5 procent), die het minst vaak alle regels naleefden. Aangezien bedrijven vaak gebruikmaken van PCI DSS-naleving om te voldoen aan de eisen op het gebied van gegevensbescherming, zoals de Europese verordening inzake gegevensbescherming (AVG), is deze kloof tussen de verschillende bedrijfssectoren die dagelijks te maken hebben met elektronische betalingen aanzienlijk.

"PCI-nalevingsnormen dalen wereldwijd en dit kan gewoon niet doorgaan", aldus Rodolphe Simonetti, Global Managing Director for Security Consulting, Verizon. "Consumenten en leveranciers vertrouwen erop dat merken hun betalingsgegevens beveiligen, dus we moeten nu handelen om deze stand van zaken te verbeteren. We dringen er bij bedrijven op aan om hun PCI-meetmethoden opnieuw te bekijken en zich te concentreren op het beheer van de duurzaamheid van hun gegevensbescherming".

Controle op effectiviteit en duurzaamheid zijn essentieel

Simonetti vervolgt: "Verizon is sinds 2003 toonaangevend op het gebied van gegevensbeveiliging voor kaarthouders en werkt nauw samen met de PCI-gemeenschap om de naleving van PCI DSS te bevorderen. Op basis van onze expertise en ons werk in het veld hebben we negen factoren ontwikkeld die bedrijven helpen om hun niveau op peil te houden. Ons doel is om een duidelijke structuur en methodologie aan te reiken om in de eerste plaats het personeel te helpen dat voor naleving moet zorgen. Maar ook om hen in staat te stellen een dialoog aan te gaan met hun directie. Dat kan door het verhaal gemakkelijker te begrijpen te maken. Om compliance processen effectief te laten zijn, moeten ze van bovenaf worden aangestuurd, maar vaak worden vooruitgang of uitdagingen niet duidelijk gecommuniceerd of begrepen door leidinggevenden."

Verizons negen factoren die de controle op effectiviteit en duurzaamheid ondersteunen, worden uitgelegd in de bijgevoegde samenvatting van het rapport. 

“Het delen van gegevens en sectoroverschrijdende samenwerking zijn van cruciaal belang om het veranderende bedreigingslandschap te begrijpen en om de wereldwijde beveiliging van betalingen te verbeteren. Zoals in dit rapport duidelijk wordt, worden organisaties nog steeds geconfronteerd met uitdagingen bij het handhaven van een hoog beveiligingsniveau en het aantonen van voortdurende naleving in snel veranderende omgevingen", aldus Troy Leach, Chief Technology Officer van de PCI Security Standards Council. "Organisaties moeten zich de bevindingen in het rapport ter harte nemen en blijven opletten hoe ze veilig kunnen blijven. Naleving mag nooit worden gezien als het einddoel voor de beveiliging, maar eerder als een maatstaf voor het beschermen van gegevens.”

Om bedrijven op het juiste nalevingspad te houden heeft Verizon in het rapport ook een uitgebreide tijdlijn ontwikkeld die de timing voor specifieke nalevingsactiviteiten in kaart brengt.

Dossiers