Konfidentiell persondata utsätts för ökade risker när handeln inte lyckas följa säkerhetsstandard för betal- och kreditkort

För andra året i rad visar en rapport från Verizon att många företag har problem med att följa säkerhetsstandard för betalkort. Därmed utsätter de sina kunders personliga information för ökade risker.

Enligt Verizon Payment Card Industry Compliance Report fortsätter företag som tar emot betal- och/eller kreditkort att ha svårt att följa föreskrifterna i Payment Card Industry Data Security Standard (PCI DSS). När de inte följer rådande standard riskerar företagen att förlora konfidentiell kundinformation och att bli utsatta för kortbedrägerier.

Handlare – både fysiska butiker och de som erbjuder e-handel – lyckas inte följa standard trots att de riskerar straff som böter och ökade transaktionskostnader från kreditkortsföretagen.

Rapporten analyserar nuläget för hur PCI DSS efterföljs, och undersöker även hur väl företagen följer var och en av de 12 specifika krav som ingår i standarden. Den ger även rekommendationer som kan underlätta för företag att följa standardkraven.

– Vårt mål är en säkrare kreditkortsmiljö för konsumenter och företag, säger Wade Baker, chef för riskanalys vid Verizon.

Det finns ytterligare material till stöd för rapporten, inklusive en poddsändning samt högupplösta tabeller och grafer. Data för rapporten är insamlad i USA, Europa och Asien.

De viktigaste resultaten från Verizon Payment Card Industry Compliance Report 2011 är:

• Situationen har varken blivit bättre eller sämre men är fortfarande inte tillräckligt bra. Bara 21 procent av de undersökta organisationerna uppfyllde kraven i PCI DSS.
• Brister i att följa standarden fortsätter kopplas till dataintrång. Rapporten visar även i år att organisationer som drabbats av intrång oftare inte följer standard och oftare råkar ut för identitetsstölder och bedrägerier.
• Organisationer har problem med grundläggande PCI-krav. De krav som oftast ställer till problem är 3 (skydda sparad data från kortinnehavare), 10 (spåra och bevaka åtkomst), 11 (regelbundet testa system och processer) och 12 (upprätthålla säkerhetspolicy). Samtliga av dessa är åtgärder för att skydda kortinnehavarens information.
• Oförmåga att prioritera åtgärder för att följa standard betyder ofta att allvarliga säkerhetshot ignoreras. Prioritized Approach lanserades 2009 för att hjälpa organisationer identifiera och minska risker för känslig kortinformation och för att underlätta den årliga PCI-processen. Rapporten visar att PCI DSS används som riktlinjer arbetet snarare än en korrekt riskbedömning. Därmed missar många organisationer säkerhetshot med hög risk och potential att orsaka mest allvarliga negativa konsekvenser.
• PCI-standarden skyddar mot de vanligaste angreppen. Skadlig kod och hacking är de vanligaste metoderna för att komma åt data om kortinnehavare. Flera överlappande PCI-krav syftar att skydda mot dessa metoder.

Baserat på grundliga analyser ger Verizon följande rekommendationer för att hjälpa organisationer att följa PCI-kraven:

• Behandla kraven som en vardaglig, pågående process. Kraven gör att företagen kontinuerligt måste följa standard. Det finns rutiner som är dagliga; andra bör göras varje månad, kvartal och årligen. För att lyckas med detta rekommenderar Verizon att en intern PCI-ambassadör säkerställer att det blir en del av ordinarie verksamhet att följa standard.
• Självvalidera väldigt noggrant – eller inte alls. Handlare av nivå 1 och 2 – de som hanterar den största volymen av korttransaktioner – tillåts att själva bedöma hur de följer standard. Eftersom detta leder till många problem och intressekonflikter rekommenderar Verizon starkt att en objektiv tredje part validerar rutinerna eller genomför testerna.
• Förbered dig på att nivån kommer att höjas. I oktober 2010 lanserade PCI Security Standards Council PCI DSS version 2.0 som kommer att ställa ännu mer stringenta krav. Organisationer måste snabbt förbereda sig inför den nya versionen trots att de har problem att följa befintlig standard.

Fler observationer och rekommendationer finns tillgängliga i den fullständiga rapporten som kan laddas ner på http://www.verizonbusiness.com/go/2011pci/us.

Ytterligare information och data från alla källor i rapporten finns på Verizon PCI Report Resource Center.

Verizon Payment Card Industry Compliance Report 2011 bygger på analyser av fler än hundra PCI DSS-bedömningar som utfördes av Verizons arbetsgrupp av kvalificerade bedömare av PCI-säkerhet under 2010. Utöver detta används data som samlats in av Verizons Risk Intelligence-team när de undersöker dataintrång kopplade till stulen kreditkortsinformation. Informationen har sedan korstabulerats med dataintrångsfall från 2011 Verizon Data Breach Investigations Report, vilket ger en bättre och mer nyanserad datamängd.