Poiché il COVID ha colpito le aziende in tutto il mondo e i negozi erano chiusi o non accettavano più contanti come metodo di pagamento preferito, abbiamo assistito a un drammatico aumento del volume di dati delle carte di pagamento. Avanti veloce ad oggi, e il volume delle transazioni online e
l'uso delle macchine per i punti vendita continua a crescere. Poiché la maggior parte dei dati è conservata nel cloud, le opportunità di attacchi informatici aumentano allo stesso tempo, il che significa che la versione precedente del Payment Card Industry Data Security Standard (PCI DSS)
non è più sufficiente.
Dal 2004, il PCI DSS garantisce che le organizzazioni che elaborano o archiviano i dati delle carte di credito possano farlo in modo sicuro. Dopo la pandemia, le linee guida sui controlli di sicurezza avevano urgente bisogno di un aggiornamento. Questo è quando la nuova versione – PCI DSS v4.0 –
è stato annunciato. Mentre le aziende hanno due anni per pianificare la loro attuazione, la maggior parte delle attività finanziarie deve avere tutto pronto entro marzo 2025. Tuttavia, c'è il rischio di lavorare con una scadenza a lungo termine poiché non riesce a creare un senso di urgenza e molti
degli aggiornamenti di sicurezza inclusi nel nuovo standard sono pratiche che le aziende avrebbero dovuto già attuare.
Ad esempio, "8.3.6 - Livello minimo di complessità per le password quando utilizzate come fattore di autenticazione" o "5.4.1 - Sono in atto meccanismi per rilevare e proteggere il personale dagli attacchi di phishing" sono elencati come "aggiornamenti non urgenti da implementare in 36 mesi”.
Con l'alto livello di minacce informatiche a seguito del conflitto russo-ucraino, questo lasso di tempo non è abbastanza veloce per aumentare il livello di protezione informatica necessaria per le istituzioni finanziarie e le attività di vendita al dettaglio, il che rappresenta una vera minaccia per i dati dei clienti e la privacy.
Per scomporlo ulteriormente, ci sono alcuni numeri importanti e interessanti che ne illustrano sia la portata che i limiti:
-
51 e 2025 illustrano i problemi principali che circondano PCI DSS V4.0 – 51 è il numero di modifiche proposte che sono classificate come "migliori pratiche" da qui al 2025 quando verranno applicate, che è a tre anni di distanza!
Esaminiamo più da vicino i 13 cambiamenti immediati per tutte le valutazioni V4.0, che includono voci come “I ruoli e le responsabilità per lo svolgimento delle attività sono documentati, assegnati e compresi”. Questi comprendono 10 dei 13 cambiamenti immediati, il che significa
la maggior parte degli "aggiornamenti urgenti" sono fondamentalmente punti di responsabilità, in cui le aziende accettano che dovrebbero fare qualcosa.
E ora diamo un'occhiata agli aggiornamenti che "devono entrare in vigore entro marzo 2025":
-
5.3.3: Le scansioni anti-malware vengono eseguite quando è in uso un supporto elettronico rimovibile
-
5.4.1: Esistono meccanismi per rilevare e proteggere il personale dagli attacchi di phishing.
-
7.2.4: Rivedere tutti gli account utente e i relativi privilegi di accesso in modo appropriato.
-
8.3.6: Livello minimo di complessità per le password quando utilizzate come fattore di autenticazione.
-
8.4.2: Autenticazione a più fattori per tutti gli accessi al CDE (Cardholder data environment)
-
10.7.3: I guasti dei sistemi critici di controllo della sicurezza vengono tempestivamente risolti
Questi sono solo sei dei 51 aggiornamenti "non urgenti" e trovo incredibile che il rilevamento di attacchi di phishing e l'uso di scansioni anti-malware facciano parte di quell'elenco. Oggi, con attacchi di phishing ai massimi storici, mi aspetterei qualsiasi finanza globale
istituzione con dati sensibili da proteggere per averli in atto come requisiti essenziali, non qualcosa da avere in atto tra tre anni.
Nonostante le minacce di ingenti multe e il rischio di vedersi ritirare le carte di credito come metodo di pagamento se le organizzazioni non rispettassero gli standard PCI, finora sono state applicate solo poche sanzioni. In attesa di altri tre anni per implementare i nuovi requisiti
contenuto nella V4.0 sembra implicare una mancanza di proprietà che alcune modifiche meritano ed è troppo rischiosa.
Mi rendo conto che ciò non significa che le aziende non abbiano già implementato alcuni o tutti gli aggiornamenti. Tuttavia, per coloro che non l'hanno fatto, l'azione di tali aggiornamenti richiederà investimenti e pianificazione e, a tal fine, PCI DSS V4.0 deve essere più specifico.
Ad esempio, se è necessario rispondere "prontamente" ai problemi di sicurezza, ciò significa 24 ore, 24 giorni o 24 mesi? Credo che le parti interessate sarebbero molto meglio servite con scadenze più specifiche.
Sebbene PCI DSS V4.0 rappresenti una buona base per portare avanti lo standard, avrebbe dovuto essere implementato con maggiore urgenza. Certo, ci sono molti cambiamenti da affrontare, ma una strategia migliore sarebbe quella di adottare un approccio graduale, ovvero dare priorità ai cambiamenti
richiesto immediatamente, tra 12 mesi, 24 mesi e 36 mesi da oggi, piuttosto che dire che devono essere tutti efficaci tra tre anni.
Senza questa guida, è probabile che alcune organizzazioni accantonino questi progetti per essere esaminati tra due anni quando si avvicina la scadenza del piano di attuazione. Tuttavia, in un'era in cui il crimine delle carte di pagamento continua a essere un rischio onnipresente, c'è poco
da guadagnare dal ritardo.
- formica finanziaria
- blockchain
- conferenza blockchain fintech
- carillon fintech
- coinbase
- geniale
- criptoconferenza fintech
- Fintech
- app fintech
- innovazione fintech
- Fintextra
- OpenSea
- PayPal
- Paytech
- pagamento
- Platone
- platone ai
- Platone Data Intelligence
- PlatoneDati
- gioco di plato
- rasoio
- Revolut
- Ripple
- fintech quadrato
- striscia
- Tencent fintech
- Xero
- zefiro
