Javul a helyzet PCI DSS fronton, de még sok a munka
Általánosságban elmondható, hogy a PCI DSS megfelelőség kapcsán folyamatosan javul a helyzet, de azért még sok teendővel kell szembenézni, ha a bankkártyák adatait nagyobb biztonságban akarjuk tudni.
A Verizon kiadta azt a tanulmányát, amelyben kifejezetten a PCI előírásoknak való megfelelőséget vizsgálta. A cég minden évben elkészít egy hasonló felmérést, hogy az is láthatóvá váljon, hogy a compliance területén milyen trendek vannak kibontakozóban. A mostani vizsgálatok, elemzések azt mutatják, hogy a megfelelőség kapcsán az egyes szervezetek, vállalatok egyre jobb munkát végeznek, de sajnos még így is sok hiányosságot lehet felfedezni.
A Verizon szerint a PCI DSS megfelelőségre kötelezett szervezeteknek a 20 százaléka képes maradéktalanul helytállni minden előírás vonatkozásában. Ez kevésnek tűnhet, azonban egy évvel ezelőtt ez az arány még csak 11,1 százalékra, míg 2012-ben mindössze 7,5 százalékra adódott. Felmerül a kérdés, hogy a maradék 80 százaléknyi vállalat miért nem tud teljesen megfelelni a követelményeknek. A felmérés azt mutatja, hogy a legnagyobb problémát továbbra is az jelenti, hogy a szervezetek többsége a megfelelőséget még mindig az auditokhoz köti, és ilyen módon egy adott pillanatban (pár nap erejéig) törekszik arra, hogy elnyerje az auditorok tetszését. Mindez pedig nem szolgálja a biztonságot, sőt akár hamis biztonságérzetet is kelthet. Andi Baritchi, a Verizon Enterprise Solutions igazgatója szerint az auditokra való koncentrálás gyakran ahhoz vezet, hogy a környezet folyamatos monitorozása, valamint a változásokra való reagálás csorbát szenved. Márpedig a megfelelőségnek az év minden egyes napján adottnak kell lennie, és a kontrollokat rendszeresen tesztelni, ellenőrizni kell, vagy legalábbis kellene.

PCI DSS követelménycsoportok
A kutatók azt is vizsgálták, hogy a PCI DSS által lefedett egyes védelmi területeken milyen változások következtek be az elmúlt év során. A legpozitívabb fejlemények a hozzáférés-kezelés kapcsán következtek be, ugyanis a cégek 69 százaléka ebből a szempontból maradéktalanul teljesítette az elvárásokat. (2013-ban még csak a 33 százalékuk volt erre képes). Hasonlóan kedvező változások történtek a tűzfalak dokumentáltsága terén is. Jody Brazil, a FireMon elnök-vezérigazgatója szerint a tűzfalak esetében elért fejlemények azért is örvendetesek, mert a legrégebb óta és a leggyakrabban használt hálózatbiztonsági eszközökről van szó, amelyek akkor tudják maradéktalanul elérni a céljukat, ha a felügyeletük, adminisztrálásuk megfelelően szabályozott keretek között zajlik.

Változások az egyes követelmények tekintetében - Forrás: Verizon
A tanulmány külön kitért az egyre többször szóba kerülő mobilfizetési technológiák kezelésére is. A szerzők úgy látják, hogy egy jó ideig még biztosan a hagyományos bank- és hitelkártyák fogják játszani a főszerepet, de jól látszik, hogy az alternatív, mobil, illetve érintés nélküli fizetési módok előbb-utóbb átveszik az uralmat, és a kártyák háttérbe fognak szorulni. A kutatók hangsúlyozták, hogy ugyan a PCI PA-DSS (Payment Application Data Security Standard) jelenleg nem tér ki mélyrehatóan a mobil eszközökkel és alkalmazásokkal kapcsolatos követelményekre, azért ettől még ezekre a technológiákra teljes mértékben vonatkoznak a PCI DSS biztonságos alkalmazásfejlesztéssel összefüggő elvárásai.
A megfelelőség nem egyenlő a biztonsággal
Viszonylag gyakran lehet hallani, hogy olyan cégek is adatbiztonsági incidensek áldozataivá válnak, amelyek amúgy rendelkeznek PCI DSS és egyéb megfelelőséggel. Ezért a Verizon kutatói annak is megpróbáltak utána járni, hogy a compliance és a sikeres támadások között milyen kapcsolatok fedezhetők fel. Kiderült, hogy azon vállalatoknál, amelyeknek az elmúlt időszakban jelentősebb incidenst kellett elkönyvelniük, korántsem volt minden az előírások szerint megvalósítva. A 45 százalékuknál hiányosságok voltak a patch menedzsmentben, míg a 72 százalékuk a monitorozás és a naplókezelés esetében sem hozta az elvárt szintet. Ez utóbbi pedig a nemkívánatos események felderítését és az incidensreagálást is hátráltatta.