Badanie PCI powoduje, że niektórzy handlowcy nie korzystają z oprogramowania antywirusowego

Konsumenci mają większe ryzyko utraty kontroli nad swoimi danymi, gdy robią interesy z mniejszymi sprzedawcami, ponieważ wielu z nich nie poczyniło inwestycji w celu spełnienia wymogów standardu bezpieczeństwa danych w zakresie kart płatniczych (PCI DSS), zgodnie z nowym sondażem.

Badanie, które objęło 560 amerykańskich i międzynarodowych organizacji, zadało respondentom szereg pytań dotyczących ich inwestycji i wdrożenia technologii zgodnie z PCI DSS, który został wprowadzony w 2005 roku. Jest to standard branżowy tworzone przez główne firmy obsługujące karty kredytowe, mające na celu ochronę danych o płatnościach klientów.

Badanie wykazało, że 55% organizacji tylko zabezpieczyło dane dotyczące kart kredytowych, ale inne dane, takie jak zabezpieczenia numery licencji lub dane rachunku bankowego. Ponadto tylko 28 procent mniejszych firm, zatrudniających od 501 do 1000 pracowników, spełnia wymagania PCI DSS. To porównuje się z ponad 70 procentami dużych sprzedawców z 75 000 lub więcej pracownikami, którzy twierdzili, że są zgodni.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

"Jeśli pójdziesz do większych organizacji do zrobienia W dzisiejszych czasach bardziej prawdopodobne jest bezpieczeństwo ", powiedział Amichai Shulman, dyrektor ds. technicznych w firmie Imperva, dzięki któremu oprogramowanie zabezpieczające dla firm jest zgodne z PCI DSS. Imperva zlecił badanie firmie Ponemon Institute, która prowadzi badania w zakresie polityki prywatności i bezpieczeństwa informacji.

Głównym powodem, dla którego firmy nie przestrzegają PCI DSS, są koszty, powiedział Shulman. "Nie starają się być zgodni, ponieważ wszystko jest w porządku lub nic, więc obecnie nic nie robią" - powiedział Shulman.

Większe firmy uważają, że łatwiej jest sobie z nimi poradzić, powiedział. Średnio firmy wydają około 35 procent swoich budżetów na bezpieczeństwo IT na zgodność ze standardem PCI DSS.

Firmy obsługujące karty płatnicze zapewniają zgodność, a większość sprzedawców ma być zgodna, zgodnie z informacjami na stronie internetowej PCI Security Standards Council.

Badanie przyniosło kilka niepokojących wyników. Około 10 procent respondentów, którzy twierdzili, że są zgodni ze standardem PCI DSS, powiedziało, że nie używają podstawowego oprogramowania zabezpieczającego, takiego jak oprogramowanie antywirusowe, firewalle i SSL (Secure Sockets Layers), Shulman powiedział.

PCI nie nakazuje używania oprogramowanie, ale zamiast tego promuje praktyki i ogólne porady, takie jak używanie zapory i programu antywirusowego. W ostatnich latach dostawcy opracowali produkty ułatwiające wdrożenie PCI DSS. Mimo to wynik był zaskakujący i wskazywał na ciągłe zamieszanie lub trudności, które niektóre firmy mają z PCI DSS.

"Trudno byłoby mi wyjaśnić, dlaczego nie używam SSL jako części mojej zgodności z PCI", Shulman powiedziany. "Wydaje mi się, że jest zbyt wiele miejsca na błędną interpretację wymogu, a firmy nadużywają go."

PCI DSS jest obecnie aktualizowany, a ankieta będzie wykorzystywana jako dane wejściowe. Standard PCI Security Standards Council, który został ustanowiony przez główne firmy wydające karty kredytowe w 2006 roku, zbiera opinie do 31 października na temat zmian w nowej wersji standardu, które mają zostać opublikowane we wrześniu 2010 roku.