Voor het tweede jaar op rij is de naleving van de voorschriften voor betalingsbeveiliging afgenomen. Daarbij blijven vooral organisaties in Noord- en Zuid-Amerika achter bij hun wereldwijde tegenhangers. Europa is in payment security een middenmoter. Dat blijkt uit onderzoek.
Toen Visa in 2004 de Payment Card Industry Data Security Standard (PCI DSS) introduceerde, gingen velen ervan uit dat organisaties binnen vijf jaar structureel aan de regels zouden voldoen. Maar nu, vijftien jaar later, is het aantal bedrijven wereldwijd dat de regels naleeft en handhaaft gedaald. Het ging van 52,5 procent (PSR 2018) naar slechts 36,7 procent.
Organisaties in de regio Azië-Pacific (APAC) zijn daarbij het best in staat de regels volledig na te leven. Zij scoren 69,6 procent in de payment security. In Europa, het Midden-Oosten en Afrika (EMEA) ligt dit percentage op 48 procent. Bedrijven op het Amerikaanse continent scoren het laagst met slechts 20,4 procent.
Europa middenmoter
PCI DSS helpt bedrijven die betaalkaartmogelijkheden aanbieden om hun betaalsystemen te beschermen tegen lekken en diefstal van kaarthoudergegevens. Naleving wordt gemeten op basis van het vermogen van een organisatie om aan de standaard te voldoen. En belangrijk, deze te handhaven.
“Na een geleidelijke toename van de nalevingsgraad tussen 2010 en 2016 zien we nu een zorgwekkende neerwaartse trend. en zelfs toenemende geografische verschillen”, aldus Rodolphe Simonetti, Global Managing Director for Security Consulting bij onderzoeker Verizon.
“We zien steeds meer organisaties die niet in staat zijn om aan de vereisten voor PCI DSS te voldoen. Dit heeft een directe impact op de veiligheid van de betalingsgegevens van hun klanten. Met de komst van de PCI DSS-standaard 4.0 hebben bedrijven de kans om deze trend om te buigen. Dit doen zij door opnieuw na te denken over hoe ze hun nalevingsprogramma’s implementeren en inrichten.”
Eerder rapport
In eerdere Payment Security Reports ontwikkelde Verizon een methodologie om organisaties te helpen hun Data Protection Compliance Programma’s (DPCP’s) te beheren.
Deze zijn nu gecombineerd tot het Verizon 9-5-4 Compliance Program Performance Framework. Dit is een richtlijn die helpt het prestatievermogen en de procesvolwassenheid te ontwikkelen en verbeteren.
Het 9-5-4 Framework is ontworpen om organisaties te helpen herhaalbare, consistente en voorspelbare uitkomsten te bereiken. Dit gebeurt door sturing te geven bij het in kaart brengen, monitoren en rapporteren van de status van duurzaamheid en effectiviteit voor alle negen factoren van controle-effectiviteit en -duurzaamheid. Dit zijn: de controleomgeving, het controle-ontwerp, de controlerisico’s, de robuustheid van de controle, de veerkracht van de controle, de levenscyclus van de controle, prestatiebeheer, de meting van de volwassenheid en de zelfbeoordeling.
Evaluatie
Het wordt bereikt door een evaluatie van de vijf beperkingen van organisatorisch vermogen. Dit zijn capaciteit, bekwaamheid, competentie, inzet en communicatie.
En dit gebeurt voor elk van de vier essentiële aspecten van zekerheid – individuele aansprakelijkheid, risicobeheer- en nalevingsteams, interne audit, externe audit en regelgevers.
Datalekken
Het rapport bevat ook gegevens van het Verizon Threat Research Advisory Center (VTRAC). Daaruit blijkt dat een nalevingsprogramma zonder de juiste controles om gegevens te beschermen een kans van meer dan 95 procent heeft om niet levensvatbaar te zijn. Daarnaast is de kans groter dat dit programma het doelwit van een cyberaanval is.
“We hebben het al jaren over de nauwe correlatie tussen het gebrek aan PCI DSS-naleving en cyberaanvallen”, concludeert Simonetti. “In het huidige rapport hebben we nog meer gegevens van het Verizon VTRAC-team, de auteurs van Verizons Data Breach Investigation-serie, gebruikt om meer diepgang te geven aan de discussie. Uit onze gegevens blijkt dat we nog nooit een lek in de beveiliging van betaalkaarten hebben vastgesteld bij een organisatie die voldoet aan de PCI DSS-normen. Naleving werkt!”
Online bankieren
Twee jaar geleden bleek nog dat bijna alle Nederlanders (97%) de meeste financiële zaken actief beheren via online bankieren. Het meest wordt het saldo gecheckt (88%), en rekeningen betaald (81%). Derde in de rij is geld overmaken naar andere rekeningen (61%).
