Mesmo que as empresas utilizadoras da norma PCI DSS sofram menos fugas de dados, muitos profissionais não acreditam nos seus benefícios segundo um estudo do Ponemon Institute e da Imperva.
Perto de 64% das empresas que adoptaram as normas Data Security Standards (DSS) e Payment Card Industry (PCI) dizem não ter sofrido fugas de dados de cartões de crédito, no segundo estudo realizado pela Imperva e o Ponemon Institute – PCI DSS Compliance Trends Study. O dado relativo aos últimos dois anos, contrasta com a atitude dos profissionais de segurança de TI: a maioria continua a não acreditar nos benefícios do PCI-DSS para a área de segurança de dados.
Um comunicado da Exclusive Networks afirma que apenas 38 % das empresas não certificadas com esta norma reportaram uma actividade sem fugas de dados de cartões de crédito no mesmo período, citando o estudo. Quanto a fugas de dados genéricas (incidentes gerais ou que envolvam dados de cartões de crédito), 63% das empresas em conformidade com a norma não sofreram mais do que uma única falha de dados, comparando com os 22% das organizações sem conformidade com a norma.
Em contraste, perto de 26 % das empresas que não cumprem com a norma sofreram mais de cinco fugas de dados no mesmo período, de acordo com o estudo.
Boa percepção sobre o PCI-DSS é fundamental
De acordo com a Exclusive Networks, o trabalho chega à conclusão de que 88% dos inquiridos não suportam a ideia de que a compatibilidade PCI-DSS tem um efeito positivo no número de fugas de dados registadas. E apenas 39 % mencionaram uma melhoria da segurança de dados como um ponto positivo em termos de regulação.
Na verdade, apenas 33% acredita que as mais valias da compatibilidade com PCI-DSS são cobertas pelo valor que dá à organização.
“Olhando para os dados sobre o decréscimo das fugas de dados e dos números recentes sobre o custo das fugas de dados, parece que muitos profissionais têm uma percepção muito errada do valor da compatibilidade com PCI-DSS”, disse Larry Ponemon, chairman e co-fundador do Ponemon Institute.
Conformidade com a norma tende a aumentar
O instituto também chegou à conclusão de que dois terços dos inquiridos atingiram a conformidade com o PCI-DSS. No estudo 2009 PCI DSS Compliance Trends Study, o número de respondentes com níveis similares de conformidade chegou apenas a metade, e apenas 25% dos respondentes em 2009 não tinham atingido qualquer nível de cumprimento com a norma. Apenas 16% das organizações inquiridas em 2010 não tinha atingido qualquer nível PCI-DSS.
“Nos últimos anos, muitas companhias amadureceram em termos de compreensão da ideia PCI e trabalharam para atingir os prazos de cumprimento”, diz Sónia Casaca, directora-geral da Exclusive Networks Portugal. “Acreditamos que esta é uma das principais razões para o crescimento da conformidade com as normas e também acreditamos ter sido a razão para o declínio no número de fugas de dados de cartões de crédito”, continuou.
“Numa altura em que os governos estão a lutar para implantar regras de protecção de dados complexos, a indústria de cartões de crédito deu um passo ousado para se autorregular, usando linguagem simples, objectivos simples e um enfoque pragmático”, disse Robert Bird, professor da University of Connecticut School of Business.
No estudo, realizado em 2010, as empresas inquiriram 670 profissionais de empresas multinacionais e dos Estados Unidos dedicadas a segurança em TI, sobre como os esforços para cumprir com o PCI-DSS afectavam a protecção de dados e a segurança das empresas.