Número de empresas em compliance com o padrão de segurança de dados no uso de cartões de crédito cai pelo segundo ano consecutivo
O número de empresas globais em conformidade com os requisitos do Payment Card Industry – Data Security Standard (PCI-DSS), padrão de segurança de dados no uso de cartões de crédito, caiu pelo segundo ano consecutivo, para pouco menos de 37%, de acordo com um novo levantamento feito pela operadora norte-americana Verizon Communications.
O Relatório de Segurança de Pagamento (PSR) anual da empresa acompanha os níveis de compliance há vários anos. Este ano foi compilado a partir de 302 compromissos do PCI DSS pelos Avaliadores de Segurança Qualificados da Verizon (QSAs, na sigla em inglês) com uma variedade de organizações, incluindo empresas que compõem o ranking da Fortune 500 e grandes corporações multinacionais, em mais de 60 países.
O número de conformidade global caiu de 53% no relatório do ano passado — uma queda significativa. As empresas que compõem a Asia Pacific Accreditation Cooperation (APAC) parecem ser as mais bem preparadas, com 70% de total conformidade. O número caiu para 48% na Europa e para decepcionantes 20%, nas Américas.
Com base em dados do Centro Consultivo de Pesquisa em Ameaças da Verizon (VTRAC), o relatório alerta que um programa de conformidade sem controles adequados tem 95% de chance de não ser sustentável e, portanto, é um dos principais alvos de ataques.
Rodolphe Simonetti, diretor-gerente global de consultoria de segurança da Verizon, alertou que enquanto no período de 2010 a 2016 houve um aumento nos níveis de conformidade, a tendência agora está se revertendo. “Muitas organizações gastam muito tempo e dinheiro criando programas de conformidade de proteção de dados, mas muitas vezes são ineficazes — ficam bem no papel, mas não são capazes de suportar o escrutínio de uma avaliação de segurança profissional”, explicou Simonetti ao site InfoSecurity.
“Ainda vemos os CISOs focando em como manter as atividades de controle na linha básica, em vez de considerar a competência e a maturidade em proteção de dados. O que é necessário é um guia de navegação claro e fácil de entender para ajudá-los a obter resultados mensuráveis e previsíveis”, diz ele.
O resultado do estudo coincide com um relatório do Security Scorecard de 2018, que revelou que mais de 90% dos varejistas dos EUA não estão em conformidade com o PCI DSS, falhando em quatro ou mais dos principais requisitos do padrão. O requisito seis, por exemplo — lidar com a manutenção de sistemas e aplicativos seguros — era um problema para 98% das empresas.