Una nueva investigación del Instituto Ponemon asignada por Gemalto está mostrando que hay una necesidad crítica de mejorar sus prácticas de seguridad de datos de pago en las organizaciones, sólo 44 por ciento de los encuestados usan cifrados punto a punto en los datos de pago.

La encuesta realizada a más de 3 700 profesionales de la seguridad de TI de más de una docena de sectores de la industria también reveló que un total de un tercio de los encuestados dijo que la conformidad con PCI DSS no es suficiente para garantizar la seguridad e integridad de los datos de pago.

PCI DSS es el estándar de seguridad de la información que las organizaciones que manejan tarjetas de crédito deben seguir si se procesan datos de pago. La validación de cumplimiento se realiza cada año, ya sea por un Asesor de Seguridad Acreditado externo que crea un informe sobre el cumplimiento de las organizaciones que manejan grandes volúmenes de transacciones o mediante el Cuestionario de Autoevaluación para las empresas manejan volúmenes más pequeños.

El estándar PCI se rige por las marcas de tarjetas y es administrado por el Payment Card Industry Security Standards Council. En otras palabras, el PCI DSS no es el encargado de que se cumpla sino los bancos. Y hay fuertes multas en caso de incumplimiento.

En declaraciones a SCMagazineUK.com, Nigel Hawthorne, portavoz europeo de Skyhigh Networks, dijo: "Lamentablemente, esto [la investigación] indica que necesitamos más de "nombrar y avergonzar " a las organizaciones que pierden datos de los consumidores para que se tomen esto más en serio. Las organizaciones de tarjetas de pago deben revocar la capacidad de las organizaciones de incumplimiento de tomar sus tarjetas de pago".

Según las investigaciones, "54 por ciento dijo que la seguridad de los datos de pago no es una prioridad para su empresa; sólo un tercio (31 por ciento) dijo que su empresa asigna recursos suficientes para la protección de los datos de pago".

Hawthrone dijo: "Esta es la razón por la cual notificar a las autoridades de regulación de protección de datos y a los propios consumidores si sus datos se extravían se ha incluido en el nuevo GDPR UE, conocer el problema es el primer paso para arreglarlo"

En el estudio, más de la mitad (54 por ciento) de los encuestados dijeron que su empresa tenía un fallo de seguridad o de datos relativa a los datos de pago, un promedio de cuatro veces en los últimos dos años.

Otros hallazgos sobre las inversiones en seguridad, prácticas y procedimientos incluyen:

55 por ciento dijo no saber dónde se almacenan o encuentran todos los datos.

La seguridad de los datos de pago no está centralizada, 28 por ciento de los encuestados dijo que la responsabilidad recae en el CIO, el 26 por ciento dijo que está con la unidad de negocio, 19 por ciento con el departamento de cumplimiento, 15 por ciento con el CISO y 14 por ciento con otros departamentos.

59 por ciento dijo que su compañía permite el acceso de terceros a los datos de pago y de estos sólo el 34 por ciento utiliza autenticación de múltiples factores para asegurar el acceso.

74 por ciento dijo que sus empresas o bien no cumplen el estándar PCI DSS o lo cumplen parcialmente.