Os retalhistas que submetem as suas redes a auditorias destinadas a verificar se cumprem os Payment Card Industry Data Security Standards pagam em média 225 mil dólares por ano por elas, de acordo com um estudo recente do Ponemon Institute.
Segundo este relatório, 10 por cento das empresas chegam mesmo a gastar mais de 500 mil dólares ao ano com as auditorias, o que não impede, contudo, que dois por cento dos retalhistas acabem por chumbar.
O estudo, conduzido pelo Ponemon Institute com o patrocínio da Thales, baseou-se no inquérito a 155 assessores de segurança qualificados (QSA) em todo o mundo, autorizados pelo PCI Security Standards Council a realizar auditorias anuais às redes dos maiores retalhistas. Aos QSAs foi pedido que disponibilizassem informações acerca de quanto estão os seus clientes a despender nas auditorias PCI anuais, exigidas pelos bancos e companhias de cartões de crédito, como a Visa ou a MasterCard, para permitirem o processamento de cartões de pagamento.
O investimento de 225 e 500 mil dólares anuais nas auditorias PCI, diz respeito a um número significativo de alterações que, todos os anos, os retalhistas são obrigados a realizar. De acordo com Larry Ponemon, o fundador do instituto, este custo nem sequer inclui as mudanças tecnológicas e os custos operacionais e com pessoal associados à auditoria. Este responsável faz notar, ainda, que “as auditorias anuais conduzem, muitas vezes, a melhorias na segurança das redes dos retalhistas, mas nem sempre isso acontece”.
Na sua opinião, as auditorias PCI não representam necessariamente a cura contra os ataques de hackers que têm por objectivo o roubo de dados de cartões de pagamento a partir das redes dos retalhistas. Aliás, algumas das mais mediáticas vítimas deste tipo de ataques, como a Heartland Payment Systems, a TJX e a Hannaford Brothers, são suficientemente grandes para estarem obrigadas a submeter-se a este tipo de vistoria.
O relatório nota também que dois por cento das empresas auditadas pelos QSAs chumbam nessas auditorias e que 41 por cento dos retalhistas recorrem ao que chamam de “controlos de compensação” ao abrigo das regras do standard PCI. Kevin Bocek, director de marketing de produto da Thales, sustenta que chumbar numa auditoria representa ter que trabalhar num plano de correcção de falhas e os chamados controlos de compensação podem ajudar a resolver algumas questões técnicas fora do âmbito das orientações PCI DSS. “Cabe ao retalhista, em conjunto com o seu QSA, decidir o que é mais apropriado ao seu caso”, diz Bocek.
Outra conclusão interessante destacada por este responsável é que, muitas vezes, o departamento de segurança TI é logicamente responsável por toda a segurança das redes, mas é aos executivos de negócio que cabe frequentemente o papel de gerir o orçamento destinado às auditorias QSA.
No estudo, 54 por cento dos QSAs dizem que os seus clientes consideram as auditorias PCI DSS demasiado caras, embora 20 por cento reportem que os seus clientes estão “satisfeitos” com os custos desta supervisão. Mais de metade (52 por cento) dos QSAs inquiridos dizem que os retalhistas não estão a gerir de forma proactiva a privacidade e a segurança das suas redes. O estudo sugere que a restrição do acesso aos dados dos proprietários dos cartões continua a ser um problema por ultrapassar.
A encriptação é a tecnologia mais eficaz que os retalhistas utilizam, isto de acordo com a opinião de 60 por cento dos QSAs entrevistados, embora presentemente a indústria não tenha qualquer requisito específico para a encriptação dos dados dos proprietários de cartões. Contudo, a o PCI Security Standards Council está já a trabalhar no sentido de apresentar em breve novas orientações neste campo.
Tags: conformidade, conformidade regulamentar, PCI, Segurança
