Согласно отчету Verizon, почти 50% компаний не прошли проверку на соответствие стандартам.
В прошлом году число компаний, достигших полного соответствия стандарту безопасности данных в индустрии платёжных карт (PCI DSS)достигло рекордного значения в 55,4%. Это также значит, что почти половина компаний не соответствует стандарту. Данную информацию предоставила в отчете по безопасности платежей телекоммуникационная компанияVerizon.
По данным исследователей, почти 300 инцидентов, связанных с платежными картами, случились из-за неполного соответствия стандарту PCI DSS. В прошлом году почти половина компаний, проверенных экспертами Verizon, не смогла пройти даже первичную проверку.
PCI DSS состоит из 12 требований по безопасности, которые должны соблюдаться компаниями, если они принимают, обрабатывают или хранят информацию о платежных картах. В рамках каждого из требований существуютдополнительные меры, выполнение которых является обязательным условием для соответствия стандарту. В общей сложности, существует более 200 мер по безопасности и PCI DSS регулярно пересматривает и обновляет их, тем самым создавая трудности для компании по их соблюдению.
Только 71,9% компаний смогли соответствовать всем требованиям при первичной проверке, в которую входит сканирование на уязвимости, тестирование на проникновение, использование систем обнаружениявторженияи мониторинг целостности файлов, говорится в отчете. Существует также повторная проверка, которую проходят не все.
В число распространенных нарушений входит отсутствие регулярного тестирования, принятия мер по устранениюпроблем безопасности, а также отсутствие контроля за устранением уязвимостей.
Некоторые компании просто не понимают различиймежду типами тестирования в рамках требований PCI DSS. Требование PCI DSS №6 обязывает разработывать и поддерживать безопасныесистемы и приложения, а требование № 12 — поддерживать политику информационной безопасности для всех работников, отметили эксперты.
Большинство компаний, не прошедших первичную проверку соответствия в прошлом году, также не смогли ее пройти и в позапрошлом. В среднем компании не соблюдали 13% требуемых мер.
Есть и общие проблемы. НедостатокИТ-специалистов, недостаток средств, выделенныхна безопасность, и отсутствиеконтроля за соблюдением требований являются тремя основными факторами, мешающими компаниям соответствовать стандарту.
