L’ultimo rapporto Verizon sulla Sicurezza nei pagamenti (PSR 2018) ha evidenziato una scarsa compliance al Payment Card Industry Data Security (PCI DSS), in parte anche per la mancanza di una piena implementazione delle misure di sicurezza previste dallo standard
L’adozione di sistemi di pagamento digitali ed in particolare l’utilizzo delle carte di credito è stato progressivamente crescente negli ultimi anni, come emerge dall’ultimo report dell’Osservatorio sulle Carte di Credito e Digital Payments di Assofin, Nomisma CRIF e GfK che ha evidenziato come in Italia nel 2017, si sia assistito all’aumento dei pagamenti elettronici per un +1,9% e ad un innalzamento dei volumi delle transazioni pari a +4,9% (dati del Settembre 2018 su anno 2017 rispetto al 2016 n.d.r.).
I dati campionati comprendono sia i sistemi sistemi contactless pagamenti via mobile app (Apple Pay, Google Pay, Paypal, Satispay, Tinaba, Bill, ecc.), sia le carte di debito. L’Osservatorio ha anche raccolto le opinioni dei principali operatori bancari e finanziari, per capire il trend di adozione dei prossimi cinque anni ed è emerso come il contante avrà un peso sempre meno rilevante rispetto alla progressiva crescita delle transazioni tramite dispositivi mobili.
In questo scenario di business, il Cybercrime non resta a guardare, tanto che le frodi online e le minacce digitali continuano ad imperversare: mail di phishing verso gli utenti o attacchi ai sistemi bancari sono le principali cause di incidenti di sicurezza che possono causare danni economici ai soggetti colpiti. Ricordiamo fra gli altri BNL, Unicredit e Intesa Sanpolo, Poste italiane, Poste PAy, PAy Pal, che sono da sempre i principali obiettivi delle campagne offensive. Queste campagne di attacco seguono ondate periodiche e si concentrano nei periodi festivi per via delle cospicue spese per i regali o nei periodi di sconti e sono segnalate da bollettini specifici fra quelli periodici emanati dalla Polizia Postale.
La sicurezza nel settore dei pagamenti elettronici
È in questo contesto di mercato che assume particolare valenza l’esito del Payment Security Report 2018 di Verizon (PSR) che rivela un preoccupante trend al ribasso per la sicurezza delle carte di credito: le aziende non riescono ad applicarla appieno e non superano la valutazione della compliance ai requisiti di security passando da una rispondenza pari al 55,4% del 2016 al 52.5% del 2017.
Questa scarsa compliance alla protezione dei sistemi di pagamento rende le aziende più vulnerabili alle violazioni e al furto dei dati dei possessori di carte di credito. Il Report intende evidenziare il crescente bisogno di verificare costantemente l’efficacia della compliance, e di misurarne i risultati e l’efficacia dei controlli, piuttosto che convincere solo i lettori della necessità di aderire agli standard PCI.
I risultati del PSR 2018 sono stati ottenuti mediante verifiche del team dedicato, il PCI Qualified Security Assessors, su Fortune 500 e altre grandi multinazionali, in più di 30 paesi diversi. In particolare sil Report si basa su casi reali, con focus specifici relativi ai settori dei servizi finanziari (58%), dei servizi IT (15%), retail (13%) e hospitality (11%). Le aree geografiche analizzate comprendono America (48%), APAC (30%) e Europa (23%). Il 77.8% delle aziende appartenenti all’area Asia-Pacifico è propenso alla conformità di questi requisiti di sicurezza, a differenza delle aziende presenti in Europa (46.4%) e in America (39.7%) che esprimono valori più bassi. Strategie diverse, approccio culturale, valutazione di premi e riconoscimenti e maturità dei sistemi IT, fra le cause delle maggiori differenze.
Da un punto di vista di mercati, i servizi IT restano i migliori per quanto concerne la compliance con tre quarti delle organizzazioni (77.8%) che raggiungono il pieno stato di adeguamento. I settori del Retail (56.3%) e dei servizi finanziari (47.9%) sono molto più attenti rispetto alle organizzazioni del settore hospitality (38.5%), che hanno mostrato il livello di attuabilità della compliance più basso.
Il gap fra i diversi settori è rilevante se si pensa anche alle esigenze di adeguamento alla normativa del Regolamento Europeo per la protezione dei dati personali (GDPR), che ha come suo fulcro principale proprio la protezione dei dati degli utenti.
Rodolphe Simonetti, global managing director for security consulting di Verizon sottolinea come l’azienda collabori strettamente con la community PCI per aumentare la compliance agli standard e come in base know how e alla esperienza sul campo dell’azienda, siano stati identificati nove fattori che sostengono i dodici requisiti chiave degli standard PCI DSS per aiutare le aziende ad adeguarsi al livello di compliance richiesto. Lo scopo è anche fornire una struttura ed una metodologia chiara per aiutare il personale addetto alla compliance, ma anche facilitarli nel dialogo su questo argomento con i membri del board aziendale, per la piena comprensione e collaborazione e per un commettment chiaro su tutta l’organizzazione aziendale:
Fattore 1- Controllo corretto dell’ambiente.
Fattore 2 – Puntuale Progettazione dei controlli.
Fattore 3 – Gestione integrata Rischi associati ai controlli.
Fattore 4 – Solidità dei controlli: per far fronte a cambiamenti inaspettati, per mantenere funzionalità e utilità verso gli obiettivi (standard di configurazione, controllo degli accessi, hardening dei sistemi, etc.).
Fattore 5 – Resilienza dei controlli: la resilienza attraverso il rilevamento proattivo e il recupero tempestivo in caso di mancato funzionamento sono essenziali per l’efficacia e l’attuabilità.
Fattore 6 – Gestione del ciclo di vita dei controlli: monitorare i controlli e gestirli in modo attivo in tutte le fasi del loro ciclo di vita, a partire dalla loro creazione fino alla disattivazione.
Fattore 7 – Gestione delle performance dei controlli: Definire e comunicare gli standard delle performance per misurare i risultati reali dell’ambiente di controllo ne migliora l’efficacia, promuovendo risultati prevedibili sulla protezione dei dati e sulle attività di compliance, consentendo di individuare tempestivamente un eventuale calo delle performance, e di invertire la tendenza.
Fattore 8 – Valutazione della maturità: in ottica di miglioramento continuo, le aziende devono seguire una roadmap, definire un livello di riferimento per i procedimenti, e sviluppare risorse adeguate per monitorarne ottimizzazione e codificazione, come indicatori di quanto i processi di sviluppo siano completi e in grado di migliorarsi costantemente.
Fattore 9 – Autovalutazione: Per raggiungere tutti questi obiettivi è necessaria un’autonomia interna alle aziende – disponibilità di risorse (professionisti, processi e tecnologia), competenze (processi di supporto), know how (skill, conoscenze ed esperienza) e impegno (determinazione nell’applicare in modo coerente gli standard).
Lo standard
American Express, Discover, JCB, Mastercard e Visa, i maggiori marchi di carte di credito hanno dato vita nel 2004 allo standard Payment Card Industry Data Security (PCI DSS), giunto oggi alla versione 3.2 (scaricabile anche dal sito CLUSIT), con la versione 4.0 in preparazione.
L’intento primario dei promotori riunti nel Security Standard Council (SSC) voleva essere quello di promuovere l’adozione di misure di sicurezza a tutela delle transazioni con carta di pagamento per favorire e incoraggiare l’utilizzo sul mercato dei pagamenti a mezzo carte di credito. Lo standard è destinato ad ogni organizzazione che memorizzi, tratti o trasmetta i dati dei titolari di carte di pagamento e ciascuna di esse è tenuta a rispettarlo. Per farlo è necessario che siano raggiunti 6 obiettivi di sicurezza su 12 diverse aree di interesse, per un totale massimo di circa 288 requisiti a cui l’organizzazione deve attenersi. A partire dai requisiti di sicurezza di base, lo standard aiuta e supporta nella definizione di un piano d’azione dettagliato per la protezione dei dati coinvolti nei pagamenti.
Approfondimenti
Per ulteriori informazioni sullo standard, il glossario, le guide all’implementazione, le FAQ, e la documentazione di supporto si può fare riferimento al sito del Security Standard Council (SSC).
Per aggiornamenti sulle minacce informatiche si può consultare il sto della Polizia Postale nella sezione notizie.
Il Payment Security Report 2018 di Verizon può essere scaricato presso dal sito dell’azienda nella sezione resources.