11,1%

4

9

NEL 2013 SOLO

L’11,1%DELLE IMPRESE DA

NOI VALUTATE È RISULTATO PIENAMENTE

CONFORME ALLO STANDARD

PCI DSS

1

2

3

5

6

78

0% conformi

100% conformiScala di conformità

4

10

11

12

9

84,4%

73,3% 77,8%

84,4%

86,7%

73,3%

68,9%

73,3% 82,2%

97,8% 95,6%

80,0%

80,0%

51,1%

80,0%

55,6%

91,1%

97,8%95,6% 93,3%

95,6%

95,6%93,3%

84,4%

82,2%44,4%

80,0%93,3% 88,9%

88,9%80,0%

84,4%

88,9%80,0%

73,3%

66,7%

84,4%82,2%93,3%93,3%

88,9%

71,1%

84,4%

86,7%

73,3%

73,3%75,6%100%

73,3%53,3%

93,3%100%75,6%77,8

%

51,1

%

93,3%80,0%

84,4%

73,3%

100%

95,6%

77,8%

Solo il 53,3% delle imprese ha dimostrato di non utilizzare le password predefinite dal fornitore. Molte hanno incontrato difficoltà con i controlli previsti al punto 2.2.2 del Requisito e solo il 50,5% è risultato conforme a entrambi.

Nel 2013 l’80% delle imprese è risultato conforme al Requisito 4, giunto secondo nel nostro studio. Tutte le aziende che non hanno rispettato questo Requisito sono risultate inadempienti al punto 4.1.a relativo alla cifratura dei dati su reti non protette.

Nel 2012 solo un terzo (34%) delle misureantivirus predisposte dalle aziende ha superato tutti i controlli di sicurezza. Nel 2013 la percentuale è balzata all’84,4%.

Nel 2012 solo il 13,2% delle imprese ha superato tutti i controlli previsti per l’archiviazione dei dati dei titolari di carta. Nel 2013 la percentuale è salita al 55,6%.

Nel 2013 piùdel 70% delle

imprese è risultato conforme all’80-90% dei controlli previsti

(con un aumento di 45punti percentuali rispetto al 2012).

+180%

* Nel 2013 l’11,1% delle

imprese è risultato pienamente conforme

alla valutazione iniziale, dato in crescita

rispetto al 7,5% del 2012.

+48%La tendenza fa ben sperare, con un 46,9% delle imprese risultato conforme. Rimane, tuttavia, la sfida di una gestione efficace dei log, che aiuta a individuare i segnali di un attacco e, in caso di violazione, a contenere le perdite di dati.

Il 35% delle violazioni ha visto l’uso di attacchi fisici, con i dispositivi POS tra gli obiettivi più frequenti. Fra il 2012 e il 2013 la conformità al Requisito 9 è pressoché triplicata attestandosi al 75,6%.

2

Fra il 2012 e il 2013 la conformità è raddoppiata registrando un 35,6%. Le imprese, tuttavia, continuano a non implementare due controlli importanti: il blocco dell’account dopo un massimo di sei tentativi di accesso falliti e l’interruzione della sessione inattiva dopo un massimo di 15 minuti. In assenza di queste misure gli hacker hanno gioco facile nell’impadronirsi di account utente legittimi.

Cresce la consapevolezza che per garantire una sicurezza efficace occorre vigilare a livello di tutta l’azienda. In un anno la conformità al Requisito 12 è passata dal 17% del 2012 al 55,6% del 2013.

La conformità media è cresciuta

dal 52,9% del 2012 all’85,2%

del 2013

+61%

Crescono le perdite mondiali per frodi relative

a carte di pagamento. The Nilson Report stima

che nel 2012 abbiano raggiunto gli 11,27

miliardi di dollari.

$11,27miliardi

Il Requisito 11 [Eseguire regolarmente test di sistemi e processi di protezione] si conferma all’ultimo posto nel 2013. Tuttavia, il livello di conformità è migliorato passando dall’11,3% del 2012 al 40% del 2013.

Nel 2013 solo il 12,5% delle vittime di violazione era conforme al momento dell’attacco rispettoalla media delle imprese che era del 46,7%.

È buona norma limitare l’accesso ai dati dei titolari di carta in base all’effettiva necessità. La maggior parte delle aziende ha compreso che non è accettabile consentire agli utenti l’accesso indiscriminato ai dati, a tutto beneficio della conformità, che è balzata al 77,8%.

Nel 2013 solo il 16,4% delle vittime di violazione è risultato conforme al Requisito 6 rispetto alla media delle aziende valutate che è stata del 53,3%. Ciò suggerisce una correlazione tra la non conformità e le violazioni di dati.

on 2012

Dati tratti dal Verizon 2014 PCI Compliance Report

1. The Nilson Report © 2013 2. Verizon 2013 Data Breach Investigations Report

© 2014 Verizon. Tutti i diritti riservati. Il nome e il logo di Verizon e tutti gli altri nomi, loghi e slogan che identificano i prodotti e i servizi di Verizon sono marchi commerciali, di servizio o commerciali registrati di Verizon Trademark Services LLC o delle relative affiliate negli Stati Uniti e/o in altri Paesi. Tutti gli altri marchi commerciali e nomi di servizio sono proprietà dei rispettivi proprietari.

Scarica il Verizon 2014 PCI Compliance Report verizonenterprise.com/it/pcireport/2014

L’immagine e l’affidabilità della vostra azienda dipendono dalla sicurezza dei datiLe persone entrano in rapporto con le aziende di cui si fidano. Nel nostro studio, tuttavia, abbiamo riscontrato che solo un’impresa su nove (l’11,1%) è risultata pienamente conforme allo standard PCI DSS in fase di valutazione iniziale. In caso di violazione, le perdite non si limitano ai dati e alla fiducia dei clienti, ma si allargano a penali pecuniarie, attività sospese e mancati guadagni. Nel 2012 le frodi ai danni di carte di pagamento hanno comportato perdite a livello mondiale per 11,27 miliardi di dollari.1 Considerata la posta in gioco, garantire la sicurezza dei dati dei clienti è diventato essenziale.

Requisiti PCI DSS

1 Installare e gestire una configurazione firewall per proteggere i dati dei titolari di carta

2 Non utilizzare valori predefiniti dal fornitore per le password di sistema e altri parametri di protezione

3 Proteggere i dati dei titolari di carta memorizzati

4 Cifrare i dati dei titolari di carta trasmessi su reti aperte e pubbliche

5 Utilizzare e aggiornare regolarmente i programmi o il software antivirus

6 Sviluppare e gestire sistemi e applicazioni protetti

7 Limitare l’accesso ai dati dei titolari di carta solo se effettivamente necessario

8 Assegnare un ID univoco a ciascun individuo dotato di accesso a un computer

9 Limitare l’accesso fisico ai dati dei titolari di carta

10 Registrare e monitorare tutti gli accessi a risorse di rete e ai dati dei titolari di carta

11 Eseguire regolarmente test di sistemi e processi di protezione

12 Gestire una politica che garantisca la sicurezza delle informazioni per tutto il personale