Logo ImpresaCity.it

Pagamenti digitali, molti siti non sono conformi agli standard di sicurezza

Secondo un nuovo studio di Verizon solo il 55,4% dei siti che svolgono attività di e-commerce soddisfa tutti criteri di sicurezza previsti dalle più recenti regolamentazioni

Secondo un nuovo studio di Verizon solo il 55,4% dei siti che svolgono attività di e-commerce soddisfa tutti criteri di sicurezza previsti dalle più recenti regolamentazioni. È questa, infatti, la percentuale di retailer, ristoratori, albergatori, servizi finanziari e It attivi nel commercio elettronico che lo scorso anno ha introdotto i requisiti previsti dal Payment Card Industry Data Security Standard (Pci Dss).

Tutti gli episodi di violazione di dati di una carta di credito su cui Verizon ha indagato erano legati alla mancata applicazione di questi requisiti, che al momento dell'attacco cybercriminale risultavano non soddisfatti. I servizi hackerati, addirittura, si sono rivelati non conformi o conformi solo parzialmente per ben dieci su dodici requisiti Pci Dss basilari. Qualche esempio? L'implementazone di test di sicurezza, la trasmissione crittografata dei dati, l'implementazione di procedure di autenticazione efficaci per chi effettua i login, la certezza di configurazioni sicure dei sistemi informatici, e ancora la capacità di gestire le vulnerabilità e il rischio informatico.

Il report si basa sullo studio di casi reali di aziende di più di trenta Paesi. Uno di questi è decisamente curioso: il caso di una società di servizi finanziari che ha scoperto di avere al proprio interno una rete wireless, intrinsecamente vulnerabile. La rete, si è poi scoperto, era opera di un responsabile It troppo pigro, che di sua iniziativa aveva installato un router per accesso ai server direttamente dalla propria scrivania, al terzo piano dell'edificio, evitando di doversi recare troppo spesso nella sala macchine nel seminterrato.

Casi curiosi a parte, va detto che lo scenario pare in miglioramento: fra il 2015 e il 2016, la percentuale di operatori “promossi” alla verifica provvisoria è salita dal 48,4% al 55,4%. E tuttavia, come precisato da Rodolphe Simonetti, global managing director for security consulting di Verizon, “tra le organizzazioni che hanno superato quest’analisi, quasi la metà non è più conforme nel giro di un anno, e altre ancora prima”. Insomma, le misure di sicurezza tese a proteggere le transazioni, i dati delle carte di pagamento e i dati dell'utente non andrebbero semplicemente applicate una tantum, bensì aggiornate di continuo per sperare di stare al passo con la rapida evoluzione del cybercrimine.

Molto spesso”, sottolinea Troy Leach, chief technology officer del Pci Security Standards Council, “gli ambienti dati dei titolari delle carte di credito rimangono in una situazione di vulnerabilità agli attacchi informatici. Questo trend è stato uno dei motori di cambiamento introdotti nella versione 3.2 del Pci Data Security Standard, che si concentra sul supporto alle organizzazioni nell’accertarsi che i requisiti di sicurezza dei dati più critici vengano applicati per tutto l’arco dell’anno, e che questi criteri vengano testati nel contesto di un procedimento costante di monitoraggio della sicurezza”.

Tra gli ambiti considerati dallo studio di Verizon, quello dei servizi It si è dimostrato il più virtuoso, potendo vantare una maggior percentuale di conformità ai requisiti in occasione della verifica provvisoria del 2016: il 61,3%. Seguono, nell'ordine, le aziende che si occupano di servizi finanziari e assicurazioni (59,1%), gli operatori del retail (50%) e il settore dell'hospitality (42,9%).
Pubblicato il: 04/09/2017

Tag:

Cosa pensi di questa notizia?

Speciali

speciali

Red Hat Open Source Day, il futuro ha il sapore dell’open source

speciali

L’affermazione della stampa 3D tra prototipazione e produzione