Hoewel diefstal van creditcardgegevens aan de orde van de dag is, blijkt uit een nieuw onderzoeksrapport van Verizon Business (PDF) dat het naleven van de beveiligingsrichtlijnen van de creditcardbranche voor een drastische reductie van dergelijke incidenten kan zorgen.
In de eerste uitgave van het ‘Verizon Payment Card Industry Compliance Report’ biedt Verizon Business een overzicht van de stand van zaken met betrekking tot de naleving van de Payment Card Industry Data Security Standard (PCI DSS).
Deze standaard werd in 2006 ontwikkeld met het doel om de gegevens van creditcardhouders te beschermen en het aantal gevallen van creditfraude terug te dringen. De onderzoekers wijzen op een kans van 50% dat bedrijven die ten prooi zijn gevallen aan gegevensdiefstal niet aan de PCI-richtlijnen voldoen. Tijdens een eerste evaluatie van de compliance-status van de onderzochte bedrijven bleek slechts 22% aan de richtlijnen te voldoen.
Naast een beoordeling van de effectiviteit van de PCI DSS-standaard biedt het rapport een overzicht van de populairste aanvalsmethoden en aanbevelingen die bedrijven helpen om aan de PCI-richtlijnen te (blijven) voldoen.
Het compliance-rapport is gebaseerd op de bevindingen van PCI DSS-audits die in 2008 en 2009 door het team van PCI Qualified Security Assessors (QSA’s) van Verizon werden uitgevoerd en een analyse van een steekproef van circa 200 auditdossiers. In zijn hoedanigheid van QSA houdt verzorgt Verizon audits voor bedrijven met betrekking tot de gevestigde PCI DSS-standaard, die voortdurend wordt verbeterd door de PCI Council, het bestuursorgaan voor de PCI-beveiligingsstandaarden en -compliance.
“Het ‘Verizon Payment Card Industry Compliance Report’ biedt bedrijven een unieke kijk op de staat van zaken op het gebied van PCI-compliance voor de gehele branche, en geeft specifiek aan welke richtlijnen het moeilijkst blijken om aan te voldoen“, aldus Peter Tippett, vicepresident Technology & Innovation bij Verizon Business. “We hopen dat dit rapport bedrijven in staat zal stellen om op een beter geïnformeerde en effectievere manier met de naleving van de PCI-richtlijnen om te gaan. Uiteindelijk willen we hetzelfde als de rest van de branche: minder gevallen van gestolen creditcardgegevens en gegevenslekken.“
Uit de onderzoeksresultaten blijkt dat de naleving van de PCI-richtlijnen de kans op gegevenslekken vermindert. Om een grondiger inzicht te verkrijgen heeft Verizon zijn auditdossiers aangevuld met informatie over onderzoeken naar gevallen van diefstal van creditcardgegevens uit het “Verizon 2010 Data Breach Investigations Report” (DBIR) en de gecombineerde gegevens vervolgens geanalyseerd op gemeenschappelijke kenmerken. De belangrijkste bevindingen zijn onder meer:
* Slechts 22 procent van alle bedrijven blijkt voldoet in eerste instantie aan de richtlijnen. De meeste bedrijven bleken niet aan de vereisten van de PCI-richtlijnen te voldoen ten tijde van het Initial Report on Compliance, toen de QSA’s van Verizon de onderneming in kwestie voor het eerst op de naleving van de standaard beoordeelden. De meerderheid van de bedrijven die volledig aan de richtlijnen voldeden, had reeds jarenlange ervaring op dit gebied of was niet verplicht om aan alle vereisten te voldoen.
* Compliance is echter in handbereik. Hoewel 78 procent van de onderzochte bedrijven in eerste instantie niet aan de richtlijnen bleek te voldoen, blijkt uit het onderzoek dat bedrijven gemiddeld 81 reeds procent van de voorgeschreven PCI-procedures hebben opgevolgd. Driekwart van de bedrijven wist zelfs minimaal 70 procent van de testprocedures met succes te doorstaan. Dit houdt in dat zij met een extra inspanning een goede kans maken om aan de richtlijnen te voldoen. Slechts 11 procent van de ondernemingen wist ten tijde van de eerste beoordeling minder dan de helft van de testprocedures te doorstaan.
* Er bestaat een kans van 50 procent dat bedrijven die aan gegevensdiefstal ten prooi vallen niet aan de PCI-richtlijnen voldoen. Na afloop van forensische onderzoeken of analyses van gegevenslekken brengen de onderzoekers van Verizon in kaart tot op welke hoogte de desbetreffende organisatie aan de PCI-richtlijnen voldoet. Na het vergelijken van deze gegevens tegen officiële PCI-auditdossiers stelden de analisten van Verizon vast dat de kans dat bedrijven waar een gegevenslek was opgetreden aan de PCI-richtlijnen voldeden, 50 procent lager uitviel. Daaruit blijkt dat bedrijven gegevenslekken kunnen voorkomen door ervoor te zorgen dat ze aan de PCI-richtlijnen voldoen.
* Er is sprake van een verband tussen gegevenslekken en de moeilijkheden die bedrijven hebben om aan bepaalde PCI-vereisten te voldoen. Van de 12 vereisten van de PCI DSS-standaard hebben er drie – het beschermen van opgeslagen creditcardgegevens, het loggen en bewaken van de toegang tot netwerkbronnen en creditcardgegevens en het regelmatig testen van beveiligingssystemen en -processen –betrekking op gebieden die volgens het DBIR het meest vatbaar zijn voor beveiligingslekken. En het zijn juist deze drie vereisten waarmee bedrijven die aan de PCI DSS-standaard willen voldoen de meeste moeite hebben.