In questi ultimi anni si sono intensificate le attività commerciali online, ed in alcuni casi le transazioni sulla Rete hanno rappresentato l’unica modalità esperibile possibile per tanti consumatori. E’ cresciuto così il volume delle transazioni tramite carte di pagamento e questo ha attirato l’attenzione degli hacker pronti a sfruttare le debolezze di sistemi e processi non sempre ottimizzati e allineati agli standard di sicurezza più evoluti. Tra questi, proprio per quanto riguarda le transazioni effettuate attraverso le carte di credito, è un punto di riferimento assoluto per i mercati lo standard Pci Dss.
Payment Card Industry Data Security Standard è uno standard di sicurezza informatica proprietario affermatosi negli anni 2000 (nasce e viene adottato tra il 2004 ed il 2006), per volontà di American Express, Discover, Mastercard, Visa e Jcb. Sono i primi membri del Pci Industry Security Standards Council Council che hanno sviluppato il sistema per prevenire i furti di informazioni dei titolari delle carte e migliorare la sicurezza delle transazioni. Chi chiede l’adesione e la certificazione per questo standard deve ottemperare ad una serie di obblighi relativi alle modalità con cui i dati vengono archiviati, elaborati e trasmessi ma anche alle procedure specifiche su come avviene il flusso dei dati delle carte, come vengono conservati e quali sistemi IT vengono utilizzati.
A distanza di tanti anni, ora il Pci Ssc introduce quella che forse può essere definita la più importante riforma dello standard dal suo rilascio. Per i Ciso delle organizzazioni si tratta quindi di impiegare le proprie risorse per tenere il passo con i nuovi requisiti di Pci Ssc v.4.0 che entrerà in vigore a partire dal 2024.
E’ questo il contesto in cui è stata elaborata ed è ora disponibile l’ultima edizione del Payment Security Report 2022 di Verizon Business. La prima analisi globale dedicata alle valutazioni relative al Pci Dss è comparsa nel Verizon Pci Compliance Report del 2010. Sulla base dei dati globali raccolti dai valutatori qualificati in ambito security (Qsa) di Verizon e da parte di altri quattro collaboratori esterni relativamente al Pci Dss – con confronti tra regioni geografiche (Americhe, Emea e Apac) – ora la ricerca fotografa come si stanno preparando i responsabili della sicurezza al cambiamento.
Mette in guarda così le organizzazioni Sampath Sowmyanarayan, executive VP e Ceo di Verizon Business: “Nonostante i miglioramenti della compliance, sappiamo che gli hacker sono ancora là fuori ]…[. Il report rileva che il settore continua a essere vittima della criminalità organizzata spinta da motivi economici, con i server che risultano coinvolti nel 90% delle violazioni finanziarie”. Serve che le organizzazioni si avvicinino ai propri obiettivi e traguardi a livello di progetto, programma e strategia.
Il report offre una sorta di “cassetta degli attrezzi su metodi di gestione, modelli e framework per consentire un’efficace organizzazione della sicurezza Pci nella sua versione Dss più recente”. Verizon evidenzia come nel tempo – il riferimento per i dati quantitativi è il 2020 – sia migliorata la conformità allo standard, tanto che nel 2020 oltre il 43% delle organizzazioni ha mantenuto la piena compliance, mentre nel 2019 questa percentuale era appena del 27,9%. Questo oggi però non è più sufficiente, considerata la rapida evoluzione dello scenario delle sfide alla cybersecurity.
Nonostante il 56,7% non abbia superato la valutazione di convalida intermedia in quanto non attua uno o più controlli di sicurezza, si evidenzia lo stesso una riduzione del divario in fase di execution che è passato da un massimo del 7,7% nel 2019 a un minimo del 4,0% nel 2020.
Il report è di utilità alle organizzazioni finance interessate, però, perché esplora anche i motivi per cui alcune aziende ottengono migliori risultati di altre nei loro sforzi per ottenere una sicurezza dei dati sostenibile ed efficace e questo è possibile per l’impostazione della ricerca che monitora nel tempo l’andamento della compliance, senza perdere di vista il mutevole panorama della sicurezza dei pagamenti.
Secondo l’analisi la chiave per ottenere una crescita continua e la stabilità delle prestazioni del programma di sicurezza e conformità è concentrare le risorse solo sulle parti del paradigma di sicurezza che limitano o bloccano ulteriori miglioramenti: i collegamenti più deboli, i vincoli di sistema o i punti di leva. Pianificazione strategica, coordinamento ed esecuzione a livello operativo sono fondamentali per evitare costose violazioni dei dati.
L’analisi di Verizon per l’Italia
Per quanto riguarda in particolare il nostro Paese, entra così nei dettagli dell’analisi Sebastien Mazas, head of Verizon Csirt Global Service:”In Italia, la recente introduzione dell’obbligo di Pos spingerà le aziende a migliorare la propria conformità rispetto allo standard Pci Dss. E per avere successo in questo percorso, soprattutto con il Pci Dss 4.0, è necessaria una solida strategia con obiettivi chiari. Considerando la complessità della sua implementazione, è importante identificare i principali vincoli tra i tanti presenti: gli “anelli più deboli” e sarà fondamentale concentrare le risorse su quegli elementi all’interno del paradigma di sicurezza che stanno attualmente limitando o bloccando ulteriori miglioramenti”.
Serve quindi investire in soluzioni efficaci, definire i piani di risposta ed eventualmente aggiornarli, e “migliorare le competenze tecniche delle risorse che operano in quest’ambito. A maggior ragione nel momento in cui il nuovo standard diventerà obbligatorio a nel 2024″. Il cambiamento delle abitudini di consumo/pagamento e le attività online espongono le aziende meno attente. “Ciò lede la stessa reputazione dei brand nei confronti dei clienti, che sono sempre più attenti a scegliere per i loro acquisti aziende in grado di garantire la sicurezza loro transazioni”, chiude Mazas.
Un valido aiuto nel semplificare l’adesione a paradigmi evoluti di sicurezza, nella direzione richiesta dall’ultima release di Pci Dss 4.0 arriverà dal digital enabler 5G, che proprio in uno scenario di pagamenti sempre più “veicolati” attraverso i dispositivi mobile consentirà di avvantaggiarsi di sistemi di autenticazione ed identificazione sofisticati come quelli possibili con i sensori biometrici, ma soprattutto di connessioni più sicure.
Architettura aperta, tecnologie Mec (Multi-Access Edge Computing), e funzionalità avanzate tipiche del 5G chiamano i professionisti della sicurezza ad esplorare in che modo queste innovazioni potrebbero influire sui livelli di conformità al Pci Dss ed il report guida passo a passo nell’organizzazione dei passaggi e delle valutazioni necessari.
© RIPRODUZIONE RISERVATA