Si trabaja en una organización que procesa información de tarjetas de crédito o de débito, seguramente ha oído hablar sobre PCI DSS. Esta regulación de Seguridad tiene como objetivo prevenir filtraciones de datos que pueden resultar costosas y perjudiciales para su empresa. Pero, ¿cuánto sabe realmente sobre el cumplimiento de esta normativa? A continuación, le presentamos algunos datos que seguramente le resulten interesantes.
1. El cumplimiento de PCI DSS ha aumentado 167% desde 2012
Esta es la mejor noticia del listado. De acuerdo al último Reporte de Cumplimiento de PCI DSS de Verizon, el número de empresas que cumplen con todos los requisitos al momento de la evaluación interna crece rápidamente año a año.
2. El 80% de las organizaciones aún no cumplen con la regulación
Más allá de que cada son vez más las empresas alineadas con PCI DSS, el número de organizaciones en cumplimiento sigue siendo bajo. De acuerdo con el reporte de Verizon, cuatro de cada cinco compañías aún fallan en la evaluación interna.
3. Solo el 26% de los ejecutivos de medios de noticias cree que su empresa cumple con la regulación
Una encuesta de Newscycle Solutions descubrió que solo un pequeño número de ejecutivos confía en haber alcanzado el cumplimiento de PCI DSS. Otro 13% no está seguro. Pese a que esta estadística representa a una industria específica, la sensación de inseguridad en relación con el cumplimiento de los estándares de PCI DSS es común en todas las industrias. Esto se debe, principalmente, a que la infraestructura de IT es cada vez más compleja, las reglas de PCI DSS cambian con frecuencia y muchas compañías no cuentan con la experiencia necesaria.
4. Solo el 29% de las empresas cumple con la regulación luego de un año de su validación
Luego de validar el cumplimiento de PCI DSS, muchas compañías la eliminan de su lista de prioridades. Lamentablemente, menos de un tercio de las empresas ha logrado mantener el cumplimiento un año después. Demostrar el cumplimiento de PCI DSS puede ser un gran alivio, pero no mantendrá a su negocio a salvo de las amenazas de Seguridad para siempre. El reporte de Verizon recomienda construir un marco robusto de políticas de Seguridad, procedimientos y mecanismos de testeo, para garantizar el cumplimiento durante todo el año.
5. El costo por no cumplir con PCI DSS puede llegar a USD 100.000 por mes…. o más
Uno de los aspectos de PCI DSS que parece difícil de entender, es que las multas por falta de cumplimiento se aplican a los procesadores de pagos o a las compañías de tarjetas de crédito (los adquirientes) que trabajan con el negocio que está fuera de cumplimiento. Esas multas abarcan un rango que va desde USD 5.000 a USD 100.000 por mes. Obviamente, luego los adquirientes van a reclamar ese dinero a las empresas, seguramente con nuevas penalidades y gastos de transacciones.
6. Ninguna de las empresas víctimas de una filtración durante la investigación de Verizon, cumplía completamente con PCI DSS
La estadística sirve en caso de que piense que los estándares de PCI DSS solo son importantes para los auditores. En los diez años que el equipo forense de Verizon lleva investigando el cumplimiento de PCI DSS, nunca encontraron una compañía que cumpliese 100% con PCI DSS, al momento de sufrir una violación de datos.
7. El 39% de las empresas fueron atacadas desde un acceso remoto no seguro
Un estudio de 2017 elaborado por SecurityMetrics reportó que la mayoría de los casos en los que los datos se vieron comprometidos, fueron originados desde accesos remotos no seguros. PCI DSS reconoce los accesos remotos como una vulnerabilidad y, en su requisito 8.3, indica a las empresas que deben protegerse mediante la "implementación de la autenticación de doble factor para accesos remotos a la red, en mano de empleados, administradores, y terceros”.
8. El costo promedio de una filtración de datos es de USD 4 millones
De acuerdo a Ponemon Institute, organización que registra cada año los costos de las filtraciones de datos, la cifra actual ha aumentado 29% desde 2013.
9. El 69% de los consumidores estaría menos interesado en elegir a una empresa víctima de una filtración
Según Verizon, la mayoría de los consumidores dudaría al momento de hacer negocios con una empresa víctima de una filtración de datos. Si usted tiene problemas para justificar el costo de una robusta solución de Seguridad, este es el dato que necesita tener en cuenta. Tomar a la ligera el cumplimiento de PCI DSS puede llevarlo a perder clientes y dañar la reputación de su marca.
10. El comerciante promedio, no cumplía con al menos 47% de los requisitos de PCI DSS, al momento de ver sus datos comprometidos
A partir del punto número 6, el estudio de SecurityMetrics también descubrió que los comerciantes que sufrieron filtraciones no cumplían con un significativo porcentaje de los requerimientos de PCI DSS. El reporte supone que esta falta de cumplimiento corresponde a la escaza confianza sobre la efectividad de los requerimientos, o la creencia de que son muy técnicos o muy costosos para implementar.
Es evidente que a la mayoría de las empresas le resulta complejo alcanzar el cumplimiento de PCI DSS. Sin embargo, no tiene por qué ser complicado. Busque una solución de software de Seguridad que proteja sus datos críticos utilizando métodos actualizados, que generen un registro detallado para los auditores, y le permita testear fácilmente su cumplimiento de PCI DSS.
Mientras tanto, lea este whitepaper y conozca cuáles son los cambios de la normativa que entraron en vigencia este año.
