Verizon Payment Security Report é uma chamada de despertar: hora de refocar na conformidade PCI DSS

Views: 49
0 0
Read Time:4 Minute, 27 Second

Muitas organizações não conseguem aprovar os controles de segurança de pagamento da linha de base, de acordo com o Verizon 2020 Payment Security Report, e o recente incidente do ransomware Blackbaud é apenas a última evidência.

Esta semana, o lançamento do Relatório anual de Segurança de Pagamentos da Verizon, que analisa como as organizações estão mantendo – e não mantendo – a conformidade com o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS).

A preocupação significativa é que o relatório destaca um declínio contínuo e acentuado na sustentabilidade da conformidade desde 2016. Ilustrar essas descobertas é uma manchete de notícias do final de setembro detalhando como um provedor de tecnologia falhou em proteger adequadamente as informações das contas bancárias.

De tempos em tempos, os consumidores têm sido decepcionados por maus controles de segurança. Por que as organizações ainda estão falhando em proteger as informações de pagamento?

Incidente de segurança do ransomware Blackbaud ainda não acabou

A Blackbaud é uma empresa global de software e serviços em nuvem fundada há quase 40 anos. Usando o slogan ” powering social good”, está sediado em Charleston, Carolina do Sul.

No início de 2020, foi anunciado que instituições de ensino e instituições de caridade estão entre um número não-baque de organizações afetadas por um ataque bem-sucedido de ransomware ao Blackbaud. Blackbaud pagou os atacantes, mas ainda não está claro se os cibercriminosos mantiveram seu lado do acordo.

A exposição potencial de informações pessoalmente identificáveis (PII) já era conhecida desde os primeiros relatos do ataque ao ransomware. Blackbaud observou posteriormente que antes de bloquear os cibercriminosos fora de seus sistemas, os atacantes removeram uma cópia de um subconjunto de dados de seu ambiente auto-hospedado (nuvem privada).

As informações de pagamento não foram previamente consideradas expostas no incidente de segurança.

No entanto, no final de setembro, a Blackbaud apresentou um arquivamento de 8 K à Comissão de Valores Mobiliários dos EUA (SEC), afirmando que o ataque tinha sido mais invasivo do que pensava inicialmente.

“Após 16 de julho, uma investigação forense posterior descobriu que, para alguns dos clientes notificados, o cibercriminoso pode ter acessado alguns campos não criptografados destinados a informações de contas bancárias, números de segurança social, nomes de usuário e/ou senhas”, de acordo com o comunicado 8-K da empresa.

Em outras palavras, os dados não foram protegidos de acordo com os requisitos do PCI DSS. A Blackbaud afirma em seu site que “reconhece nossa responsabilidade pelo cumprimento dos requisitos do PCI e proteção de quaisquer dados de titulares de cartão que nós, como prestador de serviços, possuímos, armazenamos, processamos ou transmitimos em nome do cliente”.

Verizon Payment Security Report identifica muitas deficiências

O Relatório de Segurança de Pagamentos Verizon 2020, divulgado em 6 de outubro de 2020, descreve os desafios de segurança e conformidade de dados enfrentados pelas organizações encarregadas de garantir processos de pagamento. Em particular, o relatório se concentra no estado da sustentabilidade de conformidade 3.2.1 da PCI DSS até o momento, bem como analisa o que as organizações podem fazer para melhorar a segurança dos pagamentos.

O relatório deste ano aponta que a sustentabilidade da conformidade continua a cair, ano após ano, datando de 2016. Analisando os dados de 2019, apenas 27,9% das organizações obtiveram 100% de conformidade durante a validação de conformidade provisória. No geral, o relatório comenta que a falta de pensamento de segurança de longo prazo – organizações que se concentram em aplicar correções rápidas em vez de criar e executar uma estratégia maior – está afetando severamente a conformidade sustentada do PCI DSS.

Omdia research very much resonates with the findings of the Verizon report. It is a wake-up call to organizations that strong leadership is required to address failures, adequately manage payment security, and comply with PCI DSS security controls.

Embora a votação eletrônica tenha sido atormentada por temores de adulteração ou fraude, a Voatz está procurando tornar o processo mais transparente e auditável, de acordo com o fundador da empresa, Nimit Sawhney. Ele oferece pontos de aprendizado de três pilotos recentes que destacam como os governos podem melhorar a integridade e proteger melhor o processo de votação e seus dados.Trazido a você por Voatz

O alinhamento da estratégia de segurança com a estratégia organizacional é essencial para que as organizações mantenham o cumprimento, seja com o PCI DSS, o Regulamento Geral de Proteção de Dados da UE (GDPR) ou qualquer outra regulamentação a que as organizações estejam sujeitas. Segurança não é conformidade, e vice-versa, mas a segurança tem uma enorme influência na conformidade; a segurança deve estar alinhada com a conformidade PCI DSS e outros requisitos organizacionais importantes.

Mas qualquer iniciativa estratégica bem sucedida requer uma parte interessada que seja encarregada de vê-la. Infelizmente, na maioria das organizações raramente é um indivíduo ou papel responsável pela conformidade, segurança e risco, e isso significa que os planos mais bem colocados podem cair nas rachaduras.

Omdia concorda com o comentário do relatório de que o sucesso de segurança e conformidade de dados de longo prazo exigirá os esforços combinados de múltiplas funções, incluindo o Diretor de Segurança da Informação, Diretor de Risco e Diretor de Conformidade.

As organizações devem controlar a conformidade e manter a confiança de seus clientes, que é facilmente danificada por ações inadequadas como as da Blackbaud.

FONTE: DARK READING

Previous post Microsoft pagou mais de US$ 374.000 por vulnerabilidades do Azure Sphere
Next post Usando uma falha do WordPress para aproveitar a vulnerabilidade do Zerologon e atacar os Controladores de Domínio das empresas

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *