Согласно отчету Verizon, почти 50% компаний не прошли проверку на соответствие стандартам.
В прошлом году число компаний, достигших полного соответствия стандарту безопасности данных в индустрии платёжных карт (PCI DSS) достигло рекордного значения в 55,4%. Это также значит, что почти половина компаний не соответствует стандарту. Данную информацию предоставила в отчетепо безопасности платежей телекоммуникационная компания Verizon.
По данным исследователей, почти 300 инцидентов, связанных с платежными картами, случились из-за неполного соответствия стандарту PCI DSS. В прошлом году почти половина компаний, проверенных экспертами Verizon, не смогла пройти даже первичную проверку.
PCI DSS состоит из 12 требований по безопасности, которые должны соблюдаться компаниями, если они принимают, обрабатывают или хранят информацию о платежных картах. В рамках каждого из требований существуют дополнительные меры, выполнение которых является обязательным условием для соответствия стандарту. В общей сложности, существует более 200 мер по безопасности и PCI DSS регулярно пересматривает и обновляет их, тем самым создавая трудности для компании по их соблюдению.
Только 71,9% компаний смогли соответствовать всем требованиям при первичной проверке, в которую входит сканирование на уязвимости, тестирование на проникновение, использование систем обнаружения вторжения и мониторинг целостности файлов, говорится в отчете. Существует также повторная проверка, которую проходят не все.
В число распространенных нарушений входит отсутствие регулярного тестирования, принятия мер по устранению проблем безопасности, а также отсутствие контроля за устранением уязвимостей.
Некоторые компании просто не понимают различий между типами тестирования в рамках требований PCI DSS. Требование PCI DSS №6 обязывает разрабатывать и поддерживать безопасные системы и приложения, а требование № 12 - поддерживать политику информационной безопасности для всех работников, отметили эксперты.
Большинство компаний, не прошедших первичную проверку соответствия в прошлом году, также не смогли ее пройти и в позапрошлом. В среднем компании не соблюдали 13% требуемых мер.
Есть и общие проблемы. Недостаток ИТ-специалистов, недостаток средств, выделенных на безопасность, и отсутствие контроля за соблюдением требований являются тремя основными факторами, мешающими компаниям соответствовать стандарту.