Новое изучение говорит о том, что маленький процент компаний соответствует всецело требованиям PCI DSS 2.0, тогда как громадный процент есть «в основном соответствующим».Соответствие Отраслевому Стандарту по защите данных Платежной карты (DSS PCI)-a главное требование для организаций, каковые обрабатывают и обрабатывают электронные платежи – есть низким, но улучшение, в соответствии с итогам нового изучения от Verizon.Не обращая внимания на то, что всего 11,1 процентов рассмотренных компаний были полностью соответствующими всем требованиям стандарта PCI DSS 2.0 в 2013, то число есть практически повышением 3,6 процентов с 2012.«Лишь 11 процентов компаний, каковые мы встретили, были соответствующими на протяжении первой оценки, подразумевая, что 89 процентов организаций не были первоначально соответствующими», Родольф Симонетти, управляющий директор, практика PCI, сообщили Корпоративные ответы Verizon eWEEK.
Не обращая внимания на то, что маленький процент компаний есть всецело соответствующим DSS PCI, многие что Симонетти, именуемый «в основном соответствующими», либо 80 процентов либо более соответствующие спецификациям DSS PCI. В соответствии с изучению Verizon, лишь 32 процента компаний главенствовали образом соответствующими в 2012, число, которое росло до 82 процентов в 2013.
Главная неприятность с соответствием PCI пребывает в том, что большая часть организаций просматривало его как проект, что будет закончен и не как повседневный процесс, сообщил Симонетти. «Что критически принципиально важно, обязан с каждым днем поддерживать соответствие, по причине того, что, когда оценка сделана, риск не уходит», сообщил он. «Что мы видели с прошлых пяти лет нарушений защиты, то, что большая часть компаний, даже если они были в один раз соответствующими PCI, было несовместимо на протяжении нарушения».Организациям может прийтись, непросто встретив Требование 7 спецификации, которая передает под полномочие это, они делают тестирование безопасности; Требование 11, которое предусматривает потребность в мониторинге безопасности; и требование 3, которое касается защиты, хранило эти, растолковал Симонетти.Требование 11 возможно сложным, по причине того, что оно требует применения управления изданием либо безопасности Управление инцидентами и Управление событиями (SIEM) технологии, сообщил Симонетти.
Требование тестирования требует, дабы организации сделали ежегодное опробование на пенетрацию и ежеквартальные сканирования уязвимости.«Это – здравый суть, и все еще большое количество компаний прекратило трудиться», сообщил Симонетти.
Для улучшения соответствия безопасности компании должны подобающим образом выделить ресурсы, такие как люди, деньги и время, Симонетти сообщил, добавив, что соответствие должно остаться круглогодичным, постоянным упрочнением и не инициативой момента времени.Соответствие DSS PCI должно кроме этого быть просмотрено в более широком контексте полной программы обеспечения безопасности и не независимого упрочнения, и организации должны действенно применять соответствие как возможность, сообщил Симонетти. «Соответствие приблизительно не смягчает риск; это может кроме этого быть об обеспечении дохода от инвестиций», сообщил он.Останьтесь сфокусированными, Симонетти рекомендовал. «Соответствие PCI содержит примерно 300 средств управления, и оно не целесообразно использовать те средства управления ко всей среде IT. Для соответствия несложнее сократите размер фокуса и задачи со стороны среды, которая должна быть отдельной и после этого защищенная».
Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.