Aunque las brechas en los datos de las tarjetas de crédito siguen ocurriendo con excesiva frecuencia, un nuevo informe de Verizon Business demuestra que el cumplimiento de las normas de seguridad del sector puede contribuir enormemente a reducir tales incidentes.
El informe de Verizon examina la situación actual en cuanto al cumplimiento de la norma de seguridad de los datos del sector de las tarjetas de pago (PCI DSS), llegando a la conclusión de que sólo el 22% cumplía con dicha norma en la fecha del examen inicial. Además de evaluar la eficacia de la PCI DSS, el informe identifica los métodos de ataque más comunes y recomienda formas de obtener y mantener la conformidad con PCI.
Aunque en un principio existe un 78% de organizaciones que no cumplen con la norma inicialmente, el informe concluye que, como media, las empresas operan conforme al 81% de los procedimientos requeridos por PCI. De hecho, tres cuartos de las organizaciones cumplen con el 70% de los procedimientos de prueba como mínimo, lo que significa que una mayor diligencia resultaría en la conformidad total. Únicamente el 11% cumple menos de la mitad de los procedimientos de prueba durante la evaluación inicial.
El estudio se basa en los resultados de las evaluaciones de PCI DSS que el equipo de asesores de seguridad calificados (QSA) de Verizon llevó a cabo en 2008 y 2009, incluyendo el análisis de alrededor de 200 casos. En su rol de QSA, Verizon audita y evalúa la conformidad de las empresas con la norma PCI DSS, que el Consejo del PCI, organismo regulador de las normas y conformidad de PCI, actualiza constantemente.
“El Informe de Verizon sobre conformidad del sector de las tarjetas de pago ofrece un panorama completo de la conformidad del PCI en todos sus aspectos, apuntando especialmente a aquellos requisitos que resultan más difíciles de cumplir”, explica Peter Tippett, vicepresidente de Tecnología e Innovación de Verizon Business. “Esperamos que este informe ayude a las organizaciones a abordar el tema de la conformidad de PCI de una manera más documentada y eficaz. En última instancia, queremos lo mismo que el resto del sector: reducir las pérdidas de tarjetas de crédito y las brechas en los datos”.
El informe concluye que los requisitos de PCI pueden disminuir las posibilidades de una brecha. Además, para obtener un cuadro más completo de los datos, Verizon añadió los resultados de los casos de brechas en tarjetas de pago incluidos en el Informe sobre investigaciones de brechas en la seguridad de los datos del año 2010 (DBIR), para después analizar y combinar ambos grupos de datos en busca de factores comunes.
La combinación de los datos de las evaluaciones del PCI y el análisis posterior a la brecha ha permitido que los analistas de Verizon clasifiquen los métodos de ataque más frecuentes: código malicioso y hacking (25%), inyecciones de SQL (24%) y explotación de credenciales predeterminadas y fáciles de adivinar (21%).
