Bedrijven worstelen met bescherming kredietkaartgegevens
De meerderheid van de bedrijven die jaarlijks compliance met PCI DSS (Payment Card Industry Data Security Standard) verkrijgen, slagen er niet in om daarna die compliance te behouden. Als gevolg daarvan blijven ze vaak blootgesteld aan potentiële gegevenslekken en andere bedreigingen, zegt Verizon in een rapport.
Het rapport baseert zich daarvoor op de resultaten van jaarlijkse PCI compliance assessments die het bedrijf bij meer dan 500 grote organisaties uitvoerde tussen 2011 en 2013. Uit de analyse blijkt dat slechts 11,1% van de bedrijven hun compliancestatus behielden tussen twee assessments. Meer dan 82% bleek tijdens de assessment aan slechts acht van de tien PCI DSS-vereisten te voldoen en had drie maanden nodig om de gaten te dichten.
Continue inspanning
Verizon verklaart de resultaten met de tendens dat veel bedrijven PCI compliance slechts als een jaarlijks doel beschouwen in plaats van een continue inspanning voor risicobeheer. “Compliance wordt vaak als een project beheerd,” zegt Rodolphe Simonetti, managing director PCI practice bij Verizon Enterprise Solutions. “Eens compliance verkregen is, besteden veel bedrijven er eenvoudigweg geen aandacht meer aan.”
Veel bedrijven hebben echter te weinig mankracht of resources om PCI compliance als een continu proces te beschouwen. Eens ze de compliance verkregen hebben, wijzen ze het personeel toe aan andere projecten.
De vereisten waar heel wat bedrijven problemen mee hebben, zijn die over het beschermen van gegevens in rust, het testen van de beveiliging, het detecteren van inbreuken en de reactie erop. Meer dan de helft van de bedrijven die de eerste keer een compliance assessment lieten uitvoeren door Verizon, waren niet in orde met de vereisten over het beschermen van gegevens in rust.
In samenwerking met Computerworld.com.