El cumplimiento PCI cae por primera vez en seis años

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

No es habitual que la adopción de normativas vaya hacia atrás en lugar de crecer. Pero eso es lo que recoge un informe publicado por Verizon sobre la seguridad de los pagos y donde se demuestra que las empresas no están actualizadas con el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) y que el número de organizaciones que cumplen con los requisitos ha caído por primera vez en seis años.

Si estás interesado en la normativa PCI DSS no te pierdas este especial.

PCI DSS proporciona un marco que permite a las empresas que ofrecen servicios de pago y por tanto procesan, almacenan y/o transmiten datos de tarjetas, asegurar dichos datos, con el fin de evitar fraudes que involucran tarjetas de pago débito y crédito. Según el informe de Verizon, mientras que en 2016 del 55,4% de las empresas fueron totalmente compliance con PCI, ese porcentaje cayó hasta el 52,4% en 2017.

Existen además diferencias dependiendo de la región. Las empresas de Asia y Pacífico tienen más probabilidades de alcanzar el cumplimiento total en el 77,8% de los casos, frente al 46,4% en Europa o el 39,7% en América. Diferencias que según Verizon pueden atribuirse al momento en que se encuentran respecto a las estrategias de despliegue como a la apreciación cultural o la madurez de los sistemas de TI.

Por sector empresarial, los servicios de TI se mantienen en lo más alto en lo que respecta al cumplimiento: más de las tres cuartas partes de las organizaciones (77.8%) logran el estado de cumplimiento total. El comercio minorista (56,3%) y los servicios financieros (47,9%) también estuvieron significativamente por delante de las organizaciones hoteleras (38,5%), lo que demuestra la menor compatibilidad con el cumplimiento.

En su informe, Verizon establece nueve controles de eficacia y sostenibilidad que respaldan los 12 requisitos clave de PCI DSS son:

• Entorno de control. La sostenibilidad y efectividad de los 12 requisitos de PCI depende de un entorno de control.

• Diseño de control. La operación de control adecuada para cumplir con los objetivos de control de seguridad de DSS depende del diseño del control.

• Controlar el riesgo. Sin mantenimiento continuo los controles pueden degradarse con el tiempo y, finalmente, romperse.

• Control de robustez. Los controles operan en entornos comerciales dinámicos y entornos de amenazas en constante cambio. Deben ser robustos para resistir los cambios no deseados para que permanezcan funcionales y cumplan con las especificaciones.

• Control de la resistencia. Controlar la capacidad de recuperación con el descubrimiento proactivo y la recuperación rápida del error es esencial para la efectividad y la sostenibilidad.

• Control sobre la gestión del ciclo de vida. Para lograr todo lo anterior es necesario monitorizar y administrar activamente los controles de seguridad a lo largo de cada etapa.

• Gestión del rendimiento. Medir el rendimiento real del entorno de control mejora la eficacia del control y promueve resultados predecibles de protección de datos y actividades de cumplimiento.

• Medición de la madurez. Un entorno de control nunca debe estar estancado, debe mejorar continuamente. Para ello, las empresas necesitan una hoja de ruta.

• Autoevaluación. Lograr todo lo anterior requiere competencia interna de autoevaluación.