Voor het tweede jaar op rij is de naleving van de voorschriften voor betalingsbeveiliging afgenomen. Daarbij blijven vooral organisaties in Noord- en Zuid-Amerika achter bij hun wereldwijde tegenhangers, zoals blijkt uit Verizons 2019 Payment Security Report.Toen Visa in 2004 de Payment Card Industry Data Security Standard (PCI DSS) introduceerde, gingen velen ervan uit dat organisaties binnen vijf jaar structureel aan de regels zouden voldoen. Maar nu, vijftien jaar later, is het aantal bedrijven wereldwijd dat de regels naleeft en handhaaft gedaald van 52,5 procent (PSR 2018) naar slechts 36,7 procent. Als naar geografische ligging wordt gekeken, blijkt dat organisaties in de regio Azië-Pacific (APAC) beter in staat zijn om de regels volledig na te leven met 69,6 procent. In Europa, het Midden-Oosten en Afrika (EMEA) ligt dit percentage op 48 procent. Bedrijven op het Amerikaanse continent scoren slechts 20,4 procent.
Betaalkaartmogelijkheden
PCI DSS helpt bedrijven die betaalkaartmogelijkheden aanbieden om hun betaalsystemen te beschermen tegen lekken en diefstal van kaarthoudergegevens. Dit blijkt uit de Verizon Data Breach Investigations Report-serie. Naleving wordt gemeten op basis van het vermogen van een organisatie om aan de standaard te voldoen – en belangrijk, deze te handhaven.
“Na een geleidelijke toename van de nalevingsgraad tussen 2010 en 2016 zien we nu een zorgwekkende neerwaartse trend en toenemende geografische verschillen”, aldus Rodolphe Simonetti, Global Managing Director for Security Consulting bij Verizon. “We zien steeds meer organisaties die niet in staat zijn om aan de vereisten voor PCI DSS te voldoen, wat een directe impact heeft op de veiligheid van de betalingsgegevens van hun klanten. Met de komst van de PCI DSS-standaard 4.0 hebben bedrijven de kans om deze trend om te buigen. Dit doen zij door opnieuw na te denken over hoe ze hun nalevingsprogramma’s implementeren en inrichten.”
Nieuw framework
Gegevensbescherming en naleving zorgen voor dagelijkse uitdagingen. Veel organisaties denken dat ze een standaardaanpak kunnen hanteren om de gegevens effectief en blijvend te beschermen. In de praktijk is de beveiliging echter ingewikkelder.
Simonetti vervolgt: “Veel organisaties besteden veel tijd en geld aan het opzetten van nalevingsprogramma’s voor gegevensbescherming. Vaak zijn deze programma’s echter niet effectief. Ze zien er op papier goed uit, maar zijn niet in staat om de toetsing van een professionele beveiligingsbeoordeling te doorstaan. We zien nog steeds dat Chief Information Security Officers zich richten op het handhaven van de minimum beveiligingscontroles. Zij zouden echter moeten kijken naar de competentie en volwassenheid van de gegevensbescherming. Er is behoefte aan een duidelijke en eenvoudig te begrijpen handleiding om hen te helpen meetbare resultaten en voorspelbare uitkomsten te leveren.”
Methodologie
In eerdere Payment Security Reports ontwikkelde Verizon een methodologie om organisaties te helpen hun Data Protection Compliance Programma’s (DPCP’s) te beheren. Deze zijn nu gecombineerd tot het Verizon 9-5-4 Compliance Program Performance Framework. Dit is een richtlijn die helpt het prestatievermogen en de procesvolwassenheid te ontwikkelen en verbeteren.
Het 9-5-4 Framework is ontworpen om organisaties te helpen herhaalbare, consistente en voorspelbare uitkomsten te bereiken. Dit gebeurt door sturing te geven bij het in kaart brengen, monitoren en rapporteren van de status van duurzaamheid en effectiviteit voor alle negen factoren van controle-effectiviteit en -duurzaamheid. Dit zijn: de controleomgeving, het controle-ontwerp, de controlerisico’s, de robuustheid van de controle, de veerkracht van de controle, de levenscyclus van de controle, prestatiebeheer, de meting van de volwassenheid en de zelfbeoordeling. Het wordt bereikt door een evaluatie van de vijf beperkingen van organisatorisch vermogen: capaciteit, bekwaamheid, competentie, inzet en communicatie. En dit gebeurt voor elk van de vier essentiële aspecten van zekerheid – individuele aansprakelijkheid, risicobeheer- en nalevingsteams, interne audit, externe audit en regelgevers.
Sterk verband
Het rapport bevat ook gegevens van het Verizon Threat Research Advisory Center (VTRAC). Daaruit blijkt dat een nalevingsprogramma zonder de juiste controles om gegevens te beschermen een kans van meer dan 95 procent heeft om niet levensvatbaar te zijn. Daarnaast is de kans groter dat dit programma het doelwit van een cyberaanval is.
“We hebben het al jaren over de nauwe correlatie tussen het gebrek aan PCI DSS-naleving en cyberaanvallen”, concludeert Simonetti. “In het huidige rapport hebben we nog meer gegevens van het Verizon VTRAC-team, de auteurs van Verizons Data Breach Investigation-serie, gebruikt om meer diepgang te geven aan de discussie. Uit onze gegevens blijkt dat we nog nooit een lek in de beveiliging van betaalkaarten hebben vastgesteld bij een organisatie die voldoet aan de PCI DSS-normen. Naleving werkt!”
Het rapport van dit jaar richt zich op de prestaties, controle en volwassenheid van DPCP’s. Het bevat de resultaten van 302 PCI DSS-onderzoeken voor een reeks organisaties, waaronder Fortune 500-bedrijven en grote multinationals in meer dan zestig landen. De beoordelingen werden uitgevoerd door Verizons team van PCI Qualified Security Assessors (QSA’s), evenals QSA’s van derden, waaronder ControlScan, Foregenix, MegaplanIT en Schellman.
Vergelijkbaar met Verizons Data Breach Investigations Report-serie is het 2019 Payment Security Report gebaseerd op daadwerkelijke praktijkvoorbeelden met een specifieke focus op financiële diensten (50,7 procent); IT-diensten (17,5 procent), retail (19,9 procent) en horeca (10,6 procent). De onderzochte bedrijven bevonden zich in de regio’s Noord- en Zuid-Amerika (50 procent), APAC (20 procent) en EMEA (30 procent).