Flere virksomheder overholder standarden for betalingssikkerhed

Flere virksomheder overholder standarden for betalingssikkerhed

Verizons nye rapport om betalingssikkerhed – 2022 Verizon Business Payment Security Report – viser en forbedring i antallet af virksomheder, som overholder standarderne for betalingssikkerhed. Men også, at over halvdelen stadig ikke gør

Selv om overholdelsen af betalingskortindustriens datasikkerhedsstandard (PCI DSS) var blevet væsentligt forbedret i 2020, er de cyber-sikkerhedstrusler, som virksomhederne står over for, blevet mere snedige og svære at opdage, end de var tidligere. Det viser rapporten 2022 Payment Security Report (2022 PSR) fra Verizon, som samtidig giver værdifuld indsigt i, hvordan virksomhederne kan implementere den nye standard for betalingssikkerhed PCI DSS v4.0. Rapporten kortlægger en række sikkerheds- og compliance-emner, som hjælper virksomhederne med at identificere og løse potentielle udfordringer, samt med at afgøre, hvilke værktøjer de behøver for at nå deres mål.

Dette års rapport viser, at PCI DSS-compliance generelt var blevet markant bedre i 2020, hvor 43,4 procent af virksomhederne opretholdt fuld compliance. Dette er en forbedring på 15,5 procent i forhold til, hvad der blev rapporteret i 2019 PSR, hvor tallet var helt nede på 27,9 procent.

COVID-19-pandemien betød, at antallet af forretningsaktiviteter og betalingskorttransaktioner online voksede, men den muliggjorde samtidig en avanceret udnyttelse af både eksisterende og nye trusler og svagheder inden for betalingssystemer og -processer. For Chief Information Security Officers (CISO'er) og andre sikkerhedsansvarlige bliver billedet yderligere kompliceret af, at PCI SSC for nylig igangsatte den mest betydningsfulde opdatering af DSS siden 2004. De sikkerhedsansvarlige er nødt til at fokusere deres opmærksomhed og ressourcer på at imødekomme de nye krav i PCI DSS v4.0, som træder i kraft i begyndelsen af 2024.

"På trods af forbedringerne med at overholde standarden, så ved vi, at aktørerne med de onde hensigter stadig er derude og er stærkere end nogensinde. Vores egen omfattende IT-sikkerhedsundersøgelse 2022 Data Breach Investigations Report (2022 DBIR) viser, at den finansielle sektor fortsat er udsat for økonomisk motiveret og organiseret kriminalitet, hvor servere er involveret i 90 procent af tilfældene. Derfor er det ikke givet, at det gør en afgørende forskel alene at arbejde hårdere med den eksisterende strategi. For at forblive sikre i dagens cyber-sikkerhedsmæssige situation, bliver virksomhederne nødt til at nærme sig deres mål både på projekt-, program- og strategisk niveau," siger Sampath Sowmyanarayan, CEO, Verizon Business.

"Værktøjskasse" til implementering af PCI DSS v4.0

En nøglekomponent i PCI DSS v4.0 er vigtigheden af kontinuerlig monitorering af sikkerhedskontroller og kontinuerlig compliance af PCI DSS-kravene. CISO'er og deres teams bliver nødt til at anvende en logisk, koordineret proces til at evaluere krav og begrænsninger, mens de navigerer deres vej gennem ændringerne. For at hjælpe virksomhederne inden for betalingsindustrien med at forenkle kompleksiteten af disse nye foranstaltninger og sikre datasikkerheden, er der i rapporten 2022 PSR inkluderet en "værktøjskasse" med styringsmetoder, modeller og rammer, der er nyttige i håndteringen af PCI DSS v4.0.

Som rapporten fremhæver, har de udfordringer, virksomhederne står over for i forhold til datasikkerhed og compliance management, nogle årsag-og-virkning-sammenhænge. Nøglen til at opnå løbende vækst og stabilitet i sikkerheds- og compliance-programmet er at finde en måde, hvorpå ressourcerne kan allokeres de dele i sikkerhedsmiljøet, der i øjeblikket begrænser eller blokerer for forbedringer – de svageste led, systembegrænsninger eller særlige områder. Som sådan vil strategisk planlægning, koordinering og eksekvering på et operationelt niveau være altafgørende for at afværge de brud på datasikkerheden, der kan være meget omkostningstunge.

2022 PSR-rapporten finder også, at der er sket forbedringer, når det gælder test af sikkerheden, idet over halvdelen af organisationerne (60,1 % i 2020 mod 51,9 % i 2019) har testet sikkerhedssystemer, processer og ikke-monitoreret systemadgang. Brugen af kompenserende kontroller er også steget, hvor 30,1 procent af virksomhederne har anvendt en eller flere kompenserende kontroller for at opfylde kravene.

Potentiel indvirkning fra 5G på compliance for betalingskort

Vurderingen af nye teknologier som 5G og edge computing tog et ekstra stort skridt fremad, da COVID-19-pandemien afslørede de svageste led i finanssektoren. Hastigheden og stabiliteten ved 5G vil forbedre den mobile oplevelse og betyde større kundesikkerhed gennem avancerede biometrisk-baserede identifikations- og verifikationsmetoder. Det vil også betyde mere sikre forbindelser til videokonferencer med deltagere som f.eks. finansielle fagfolk og lånerådgivere.

Finansielle virksomheder og handlende vil fortsat finde innovative måder at drage fordel af 5G-understøttede funktioner, af open architecture og Multi-access Edge Computing (MEC) -teknologier. Samtidig skal de sikkerhedsansvarlige håndtere, hvordan disse anvendelser kan påvirke compliance i forhold til PCI DSS.

Om Verizon Business 2022 Payment Security Report

Verizon offentliggjorde branchens første globale analyse af PCI DSS i rapporten 2010 Verizon PCI Compliance Report, nu kaldet Payment Security Report (PSR). Baseret på globale data indsamlet af PCI DSS-kvalificerede sikkerhedsevaluatorer (QSA'er) fra Verizon samt fire eksterne bidragydere, inklusive yderligere sammenligninger mellem geografiske regioner (Amerika, EMEA og APAC), belyser rapporten, hvorfor nogle virksomheder opnår bedre resultater end andre i deres bestræbelser på at opnå bæredygtig og effektiv datasikkerhed. Siden starten har PSR fulgt både op- og nedture for compliance og holdt en finger pulsen i forhold til udviklingen inden for betalingssikkerhed.

- lb