PCI-enquête is te vinden Sommige verkopers gebruiken geen antivirussoftware

Consumenten hebben meer risico om de controle over hun gegevens te verliezen bij het zakendoen met kleinere detailhandelaren, omdat velen geen investeringen hebben gedaan om te voldoen aan de gegevensbeveiligingsstandaard (PCI DSS) van de Payment Card Industry, volgens een nieuwe enquête.

De enquête, die 560 Amerikaanse en multinationale organisaties behandelde, vroeg respondenten een aantal vragen over hun investeringen en de inzet van technologie om te voldoen aan PCI DSS, die in 2005 werd geïntroduceerd. Het is een industriestandaard gemaakt door grote creditcardbedrijven die zijn ontworpen om betalingsgegevens van klanten te beschermen.

Uit de enquête bleek dat 55 procent van de organisaties alleen creditcardgegevens heeft beveiligd, maar geen andere gegevens zoals sociale zekerheid en dri vens licentienummers of bankrekeninggegevens. Ook voldoet slechts 28 procent van de kleinere bedrijven tussen 501 en 1.000 werknemers aan PCI DSS. Dit is vergelijkbaar met meer dan 70 procent van de grote verkopers met 75.000 of meer werknemers die claimden dat ze compliant zijn.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

"Als u de grotere organisaties gaat doen zakelijk, is de kans groter dat u vandaag veilig bent, "zegt Amichai Shulman, CTO voor Imperva, dat beveiligingssoftware voor bedrijven maakt om te voldoen aan PCI DSS. Imperva gaf opdracht tot de enquête van het Ponemon Institute, een bedrijf dat onderzoek doet naar het privacy- en informatiebeveiligingsbeleid.

De belangrijkste reden dat bedrijven niet voldoen aan PCI DSS is de kosten, zei Shulman. "Ze doen niet de moeite om compliant te zijn omdat het alles of niets is, dus doen ze momenteel niets", zei Shulman.

Grotere bedrijven vinden het wat gemakkelijker om de kosten te dragen, zei hij. Gemiddeld spenderen bedrijven ongeveer 35 procent van hun IT-beveiligingsbudgetten aan PCI DSS-compliance.

Bedrijven met betaalkaarten verplichten compliance en de meeste handelaren zouden nu compliant moeten zijn, volgens informatie op de PCI Security Standards Council-website.

De enquête leverde een aantal andere verontrustende resultaten op. Ongeveer 10 procent van de respondenten die zeiden dat ze PCI DSS compliant waren zei dat ze geen standaard beveiligingssoftware zoals antivirus, firewalls en SSL (Secure Sockets Layers) gebruikten, zei Shulman.

PCI schrijft niet het gebruik voor van specifieke softwareproducten maar bevordert in plaats daarvan praktijken en algemeen advies, zoals het gebruik van een firewall en antivirus. In de afgelopen jaren hebben leveranciers producten ontwikkeld om de implementatie van PCI DSS eenvoudiger te maken. Toch was het resultaat verrassend en een aanwijzing voor de aanhoudende verwarring of problemen die sommige bedrijven hebben met PCI DSS.

"Ik zou het heel moeilijk vinden om uit te leggen waarom ik SSL niet gebruik als onderdeel van mijn PCI-naleving," Shulman zei. "Het lijkt mij dat er te veel ruimte is voor een verkeerde interpretatie van de vereiste, en bedrijven misbruiken het."

PCI DSS wordt momenteel bijgewerkt en de enquête zal als invoer worden gebruikt. De PCI Security Standards Council, die in 2006 werd opgericht door grote creditcardmaatschappijen, verzamelt feedback tot en met 31 oktober over wijzigingen in een nieuwe versie van de norm, die in september 2010 moeten worden vrijgegeven.