Verizon 2014 PCI Compliance Report

Transcript

1 Executive Summary Verizon 2014 PCI Compliance Report Sintesi del nostro studio approfondito sullo stato di conformità attuale allo standard PCI Nel 2013 il 64,4% delle organizzazioni non è riuscito ad assegnare a ogni singolo utente un account univoco di accesso ai dati dei titolari di carta, pregiudicando così la tracciabilità e incrementando il rischio. (Requisito 8)

2 EXECUTIVE SUMMARY VERIZON 2014 PCI COMPLIANCE REPORT NON DIVENTATE L ENNESIMA VITTIMA Il 2014 è iniziato da poco più di un mese e già si contano le prime gravi violazioni di dati. Crescono a livello mondiale le perdite relative a frodi sulle carte di pagamento; The Nilson Report stima che nel 2012 abbiano superato gli 11,2 miliardi di dollari 1. II titolari di carta non sono gli unici soggetti colpiti. L azienda che subisce una violazione in cui vanno perduti i dati di titolari di carta deve fare i conti con le spese di notifica e di ripristino, le penali verso gli acquirer e la perdita di fiducia dei clienti il tutto si traduce in opportunità di business mancate. 12Mrd Perdite mondiali per frodi su carte (miliardi $) 10Mrd 8Mrd 6Mrd 4Mrd 2Mrd 0Mrd Fonte: The Nilson Report, agosto 2013 I cybercriminali utilizzano tecniche sempre più sofisticate per fare breccia nei vostri sistemi di difesa. Dovessero riuscirvi, potrebbero danneggiare irreparabilmente la reputazione della vostra azienda e basta dare uno sguardo alle notizie per capire l effetto deleterio di una violazione. Da qui l importanza della conformità allo standard di protezione PCI (Payment Card Industry). Nella peggiore delle ipotesi potreste essere diffidati dall accettare pagamenti mediante carta. I controlli di sicurezza attuati nell ambito di un programma di conformità PCI contribuiscono a salvaguardare non solo i dati dei titolari di carta, ma anche la reputazione duramente conquistata della vostra azienda. LA CONFORMITÀ PCI DOVREBBE STARE A CUORE A VOI E A CIASCUN DIRIGENTE DELLA VOSTRA AZIENDA Il nostro 2014 PCI Compliance Report offre una prospettiva unica sulla conformità allo standard PCI DSS (Data Security Standard). Unica in quanto si basa su una fonte di dati privilegiata. Verizon è infatti uno dei provider di soluzioni di sicurezza più stimati a livello mondiale e dispone di uno tra i più numerosi team di Qualified Security Assessors (QSA). 2 VERIZON ENTERPRISE SOLUTIONS

3 UNO STANDARD A FAVORE DEL BUSINESS A meno che non siate esperti di sicurezza, probabilmente pensate che la conformità PCI abbia poco a che fare con voi e che sia un area già presidiata dal vostro personale tecnico dedicato. In realtà, la compliance PCI dovrebbe stare a cuore a voi così come a chiunque altro in azienda, dall IT al marketing, dall operatore di cassa al CEO. Lo scopo dello standard è aiutare le imprese a tutelare i dati dei titolari di carta, dati che, in aziende di medie e grandi dimensioni, sono soggetti a elaborazione, trasmissione e archiviazione migliaia di volte al giorno. In ogni caso, qualunque siano le dimensioni della vostra azienda, i mercati in cui operate o il settore cui appartenete, dati come questi risultano estremamente appetibili ai cybercriminali in quanto più facili da convertire nel vero oggetto delle loro mire: il denaro. Non è escluso che programmi di conformità inefficienti stiano prosciugando il vostro budget o addirittura pregiudicando l attività di business a causa dei notevoli cambiamenti che comportano in termini di processi e tecnologie. La verità è che i programmi di compliance possono proteggere l azienda solo quando sono eseguiti efficacemente. Oltre a essere esperti di sicurezza PCI, i nostri consulenti e valutatori specializzati godono di una conoscenza approfondita dei vari settori, conoscenza acquisita in anni di collaborazione con imprese delle aree retail, ospitalità, finanza e sanità, per citarne solo alcune. Questa esperienza spiega la nostra profonda comprensione delle sfide che dovete affrontare, il nostro impegno a calare i requisiti PCI nello specifico contesto normativo in cui operate e la volontà di formulare raccomandazioni che non si limitino a cambiamenti tecnologici, ma che inneschino una trasformazione dei processi di business. Perseguire la conformità PCI promuove pratiche di business virtuose e contribuisce a migliorare i processi aziendali nel loro complesso, non solo in ambito IT. Le domande che dovreste porvi sono queste: come possiamo collaborare al nostro interno perché il programma di conformità vada a buon fine? E come possiamo rendere la conformità una risorsa per noi? Il Verizon 2014 PCI Compliance Report può aiutarvi a trovare le risposte. Dal 2009 a oggi i nostri Qualified Security Assessors hanno condotto più di valutazioni in oltre 500 imprese in più di 50 Paesi fornendoci una prospettiva unica e privilegiata sulla protezione dei dati dei titolari di carta PCI COMPLIANCE REPORT 88,9% DELLE IMPRESE NEL 2013 NON HA SUPERATO LA VALUTAZIONE PCI INIZIALE 3

4 BASTA UNA SOLA VULNERABILITÀ Ai cybercriminali basta individuare un solo punto debole nella vostra difesa per riuscire a farvi breccia. Detto questo, scoprire e risolvere ogni possibile vulnerabilità non è cosa facile. Lo standard PCI DSS stabilisce i requisiti minimi di sicurezza cui tutte le aziende che elaborano pagamenti dovrebbero conformarsi. Le imprese si trovano a elaborare, trasmettere e archiviare dati di titolari di carta mediante centinaia di dispositivi (PC, dispositivi mobili, web server, database, terminali POS) utilizzando reti pubbliche e private cui hanno accesso non solo i clienti ma anche centinaia, se non migliaia, di dipendenti. I controlli da superare sono nell ordine delle centinaia e alcuni requisiti specifici possono risultare uno scoglio per qualunque azienda. Preoccupa, quindi, che vi siano ancora imprese che non dedichino alla conformità PCI l attenzione che merita. Alcune la considerano un evento episodico, una corsa annuale dietro cui si affanna il team della sicurezza e di cui il resto dell azienda si lamenta. Eppure, se non la si affronta seriamente, basta un nuovo accesso Wi-Fi non controllato, un account amministrativo non protetto, un disco non cifrato perché la conformità venga meno. LO STATO DELLA CONFORMITÀ Lo studio da noi condotto mostra come tra il 2011 e il 2013 vi sia stata una notevole variazione nei livelli di conformità relativi ai 289 controlli previsti dallo standard PCI DSS 2.0 con massimi del 98% e minimi del 39,6%. 100% 80% Conformità media 60% 40% 20% Conformità media sul totale dei requisiti dal 2011 al 2013 = 71,5% 0% Controlli per % di conformità Se è vero che i nostri riscontri indicano che oggi sono sempre di più le imprese che raggiungono un grado di conformità elevato rispetto al passato, è anche vero che molta strada resta ancora da percorrere. Nel 2013 solo l 11,1% delle imprese è risultato pienamente conforme alla valutazione iniziale, dato in crescita rispetto al 7,5% del % DELLE VIOLAZIONI HA RICHIESTO MESI SE NON ANNI PER ESSERE SCOPERTO Poco più del 70% delle imprese valutate nel 2013 ci è andato vicino risultando conforme con l 81-99% dei controlli previsti, in netto rialzo rispetto al 25% del A cosa è dovuto questo incremento? Riteniamo che i fattori principali siano i seguenti: la maggiore consapevolezza in materia di sicurezza dei dati. Gli sforzi compiuti dall ente PCI, dalle società di carte di pagamento e dai provider di soluzioni di sicurezza hanno dato i loro frutti. Sempre più business leader e responsabili IT sono consci dell importanza di proteggere i dati e delle modalità per farlo; la maggiore comprensione del valore della conformità. Gli effetti delle violazioni dei dati e l importanza di applicare controlli di sicurezza efficaci sono temi oggi meglio compresi all interno dell azienda anche grazie al risalto dato loro dai mezzi di comunicazione; il grado di sviluppo raggiunto dallo standard. In ogni versione si sono affrontate le ambiguità facendo ulteriore chiarezza sull interpretazione e l intento dei controlli di sicurezza. VERIZON 2013 DATA BREACH 4 VERIZON ENTERPRISE SOLUTIONS INVESTIGATIONS REPORT

5 LA CONFORMITÀ AIUTA DAVVERO? Incrociando i dati sulla conformità PCI del nostro report con quelli tratti dal nostro 2013 Data Breach Investigations Report abbiamo constatato come le aziende vittime di violazioni erano quelle con una probabilità nettamente inferiore di risultare efficaci nel: limitare l accesso ai dati dei titolari di carta in base all effettiva necessità ( solo se effettivamente necessario ). Questa è una regola d oro della sicurezza, oggetto del Requisito 7 del DSS, lo stesso requisito che abbiamo visto attestarsi al penultimo posto del nostro indice a indicazione del fatto che, consentendo l accesso a dati sensibili a troppe persone, ci si espone a un rischio maggiore di violazione; gestire i log dei dispositivi. Il tema, affrontato al Requisito 10 del DSS, non è forse dei più stimolanti, ma è cruciale per riconoscere le avvisaglie di un attacco e, in caso di violazione, ridurre le perdite di dati. Questo requisito è giunto ultimo nel nostro indice a testimonianza del fatto che una gestione inefficace dei log incide marcatamente sulle probabilità di andare incontro a una perdita di dati. Conformità relativa delle vittime di violazioni di dati 1. Firewall Le vittime di violazione hanno Password di default mostrato una probabilità -1.6 nettamente inferiore di limitare 3. Cifratura l accesso ai dati dei titolari di carta -2.5 in base all effettiva necessità. 4. Comunicazioni -0.8 sicure 5. Antivirus Le aziende -3.2 sottoposte a 6. Patch di sistema indagine dopo una -2.8 violazione hanno 7. Effettiva necessità mostrato di disporre -3.5 di politiche meno 8. ID univoco -2.1 efficaci per la 9. Accesso fisico gestione dei log Gestione log Test continuativi Individui < Peggiore Indice Verizon di conformità PCI relativa Migliore > QUANTO È SICURA LA VOSTRA AZIENDA? All interno delle cifre riportate si sono registrati notevoli livelli di variazione in termini di conformità: DA SETTORE A SETTORE Tra il 2011 e il 2013 la percentuale di retailer risultata conforme ad almeno l 80% dei controlli DSS 2.0 è stata doppia (69,7%) rispetto a quella del settore ospitalità (35%). DA REGIONE A REGIONE L Europa ha visto solo il 31,3% delle proprie imprese risultare conforme ad almeno l 80% dei controlli, distanziata dal Nord America con il 56,2% e dall Asia Pacifico con il 75%. DA REQUISITO A REQUISITO La maggioranza delle imprese esaminate nel nostro studio (58,4%) ha dato prova di limitare efficacemente l accesso ai dati dei titolari di carta in base all effettiva necessità ( solo se effettivamente necessario, Requisito 7). Tuttavia, meno di un quarto (23,8%) ha dimostrato di testare regolarmente i propri sistemi e processi di sicurezza come previsto dal Requisito 11. La vostra azienda come si pone in questo contesto? Il nostro 2014 PCI Compliance Report può aiutarvi a fare il punto PCI COMPLIANCE REPORT Oltre la metà delle imprese risultata conforme al 95% o più dei controlli DSS 2.0 non ha verificato l efficacia con cui sono testati i sistemi e i processi di sicurezza. 5

6 COME RENDERE LA CONFORMITÀ UNA RISORSA Considerare la conformità PCI solo come un costo legato all attività fa perdere di vista l opportunità di sfruttarla come un investimento a vantaggio dell azienda. Se ben gestita, essa può innescare miglioramenti nei processi aziendali, individuare opportunità di consolidamento per l infrastruttura e generare nuove entrate per l azienda. I vantaggi spaziano su più fronti: MAGGIORE EFFICIENZA AZIENDALE I programmi di conformità PCI costituiscono una valida occasione per riesaminare da cima a fondo tutte le attività aziendali. Molte imprese hanno constatato come gli sforzi per il raggiungimento della compliance producano effetti positivi immediati grazie all ottimizzazione dei processi, a una migliore comunicazione interna e al maggiore controllo da parte del management della spesa inerente la sicurezza. MAGGIORE EFFICIENZA DEI SERVIZI IT Conformarsi ai requisiti di protezione PCI comporta quasi sempre la necessità di apportare modifiche a livello IT e di business. Il programma di compliance è l occasione di ripensare in un ottica strategica sistemi e investimenti accumulatisi negli anni o nei decenni a maggiore vantaggio per l azienda. Può, ad esempio, contribuire a giustificare il consolidamento e la valorizzazione dell infrastruttura con ricadute positive su sicurezza, business continuity, facilità di gestione e performance di sistema. RIDUZIONE DEL RISCHIO Il programma di conformità PCI coincide spesso con la prima volta in cui l azienda affronta seriamente il tema della sicurezza delle informazioni. La serie di controlli previsti può essere applicata a dati e sistemi diversi da quelli delle carte di pagamento, contribuendo così a incrementare la sicurezza complessiva e a ridurre l esposizione al rischio. MAGGIORE INNOVAZIONE Conformità non è solo tappare i buchi. È imboccare un percorso capace di rilanciare l innovazione in azienda. Può stimolare l adozione di nuove tecnologie, di nuove modalità di lavoro e di nuovi modelli aziendali. Alcuni retailer, ad esempio, hanno introdotto nuovi sistemi POS conformi ai requisiti PCI registrando incrementi significativi nel volume di attività e nelle iniziative pubblicitarie. I controlli attuati nell ambito dello standard di sicurezza contribuiscono, inoltre, a gettare le basi per un uso più massiccio delle nuove tecnologie mobili e del cloud computing. MAGGIORE FIDUCIA DA PARTE DEI CLIENTI Aspettatevi che i clienti di domani siano più esigenti di quelli di oggi. Big data e advanced analytics consentono di analizzare con estrema precisione i comportamenti dei consumatori a patto che questi si sentano sicuri nell affidare all azienda i propri dati. L applicazione dei requisiti PCI a tutte le attività che coinvolgono i clienti contribuisce a garantire la riservatezza dei dati che li riguardano. ANZICHÉ UN INCOMBENZA CUI ASSOLVERE ANNUALMENTE, LA CONFORMITÀ DOVREBBE ESSERE PARTE INTEGRANTE DELL ATTIVITÀ AZIENDALE Vi interessa saperne di più? Scaricate il report completo e consultate le risorse correlate al Verizon 2014 PCI Compliance Report visitando il sito: verizonenterprise.com/it/pcireport/2014 Verizon 2014 PCI Compliance Report An inside look at the business need for protecting payment card information. 6 VERIZON ENTERPRISE SOLUTIONS In 2013, 64.4% of organizations failed to restrict each account with access to cardholder data to just one user limiting traceability and increasing risk. (Requirement 8) Research Report

7 1 NON 2 RENDETE 3 INSERITE 4 CONSIDERATE 5 DEFINITE LE NOSTRE RACCOMANDAZIONI SOTTOVALUTATE L IMPEGNO RICHIESTO La conformità PCI richiede tempo, denaro e sostegno da parte del management. Deve essere parte integrante delle attività di tutti sviluppatori di applicazioni, amministratori di sistema, dirigenti, personale dei punti vendita e dei call center non solo di coloro che nell IT si occupano di sicurezza. SOSTENIBILE LA CONFORMITÀ Sono migliaia le attività che occorre svolgere ogni anno per mantenere la compliance. Perché risulti sostenibile, il programma di conformità deve essere integrato nell attività quotidiana diventando un processo continuativo. LA CONFORMITÀ IN UN CONTESTO PIÙ AMPIO La cosa migliore per semplificare il carico di lavoro relativo al processo di compliance e conseguire una reale sicurezza dei dati è iscrivere questo percorso in una più ampia strategia aziendale che riguardi governance, rischio e conformità. LA COMPLIANCE UN OPPORTUNITÀ Se ben gestita, la conformità PCI può innescare miglioramenti nei processi aziendali, individuare opportunità di consolidamento dell infrastruttura e generare nuove entrate per l azienda. Guardate ad essa come a un opportunità, non a un onere. L AMBITO DI VALUTAZIONE Vi è molta confusione su come mantenere i sistemi fuori dall ambito di valutazione, ma alcune pratiche virtuose esistono e possono essere seguite. La prima è quella di archiviare meno dati su un numero ridotto di sistemi. Questo non solo consente di raggiungere più facilmente la conformità, ma permette di risparmiare su storage e backup PCI COMPLIANCE REPORT 7

8 1. verizonenterprise.com/it 2014 Verizon. Tutti i diritti riservati. Il nome e il logo di Verizon e tutti gli altri nomi, loghi e slogan che identificano i prodotti e i servizi di Verizon sono marchi commerciali, di servizio o commerciali registrati di Verizon Trademark Services LLC o delle relative affiliate negli Stati Uniti e/o in altri Paesi. Tutti gli altri marchi commerciali e nomi di servizio sono proprietà dei rispettivi proprietari. GL IT 03/14