Embed Size (px)
DESCRIPTION
Solo el 11,1% de las organizaciones evaluadas cumplían con la totalidad de la PCI-DSS Explore algunos datos vinculados a 12 de los requisitos PCI DSS y descubra la evaluación del cumplimiento año tras año http://vz.to/1h9TjEF
Citation preview
11.1%
4
9
EN 2013, SOLO
EL 11,1%DE LAS ORGANIZACIONES EVALUADAS CUMPLÍAN
CON LA TOTALIDAD DE LA PCI-DSS
1
2
3
5
6
78
Cumplimiento del 0%
Cumplimiento del 100% Escala de cumplimiento
4
10
11
12
9
84,4%
73,3% 77,8%
84,4%
86,7%
73,3%
68,9%
73,3% 82,2%
97,8% 95,6%
80,0%
80,0%
51,1%
80,0%
55,6%
91,1%
97,8%95,6% 93,3%
95,6%
95,6%93,3%
84,4%
82,2%44,4%
80,0%93,3% 88,9%
88,9%80,0%
84,4%
88,9%80,0%
73,3%
66,7%
84,4%
82,2%93,3%93,3%88,9%
71,1%
84,4%
86,7%
73,3%
73,3%75,6%100%
73,3%53,3%
93,3%100%75,6%77,8
%
51,1
%
93,3%80,0%
84,4%
73,3%
100%
95,6%
77,8%
Solo el 53,3% de las organizacionesno utilizaban las contraseñas predeterminadas
por los proveedores. Muchas tenían dificultadescon los sub-controles de 2.2.2; solo
el 50,5% cumplía con los dos.
En 2013, el 80% de las organizacioneslo cumplían, el segundo de nuestro estudio. Todas las que incumplían el requisito 4,
fallaban el 4.1.a, cifrado de datosen redes públicas abiertas.
En 2012, solo un tercio de las medidasantivirus de las empresas (34%) cumplían todos
los controles. Para 2013, el cumplimientohabía subido al 84,4%.
Solo el 13,2% de las organizacionescumplían todos los controles de
almacenamiento de datos en 2012 .En 2013, esta cifra subió al 55,6%.
Más del 70% delas organizaciones
cumplían con el 80–99% de los
controles en 2013 (45 puntos más
que en 2012)
+180%
*En 2013, el 11,1%de las organizaciones
cumplían con la totalidadde los requisitos en la
fecha de su evaluacióninicial, en comparación
con el 7,5% de 2012. +48%
Esta tendencia resulta prometedora, conel 46,9% de las organizaciones cumpliéndolo.
Pero la gestión de los registros sigueplanteando dificultades. Esto ayuda a detectar los
primeros signos de un ataque y a reducir la pérdida de datos si se produce una brecha.
El 35% de las brechasinvolucraban ataques físicos y
dispositivos de punto de venta como objetivos frecuentes. Entre
2012 y 2013, el cumplimientocon el requisito 9 casi se triplicó
hasta un 75,6%.
2
Desde 2012 hasta 2013, el cumplimiento se duplicóhasta el 35,6%. No obstante, las organizaciones siguen sin
implementar dos controles importantes —bloquear las cuentas después de seis intentos fallidos de acceso y cerrar sesiones
inactivas al cabo de 15 minutos— lo que hace que a los delincuentes les sea más fácil hacerse con cuentas de usuarios.
Las organizaciones se han dado cuenta de queuna seguridad eficaz exige vigilancia en todala organización. El cumplimiento con el requisito12 subió del 17% en 2012 al 55,6% en 2013.
El cumplimientomedio ha subido del 52,9% en 2012al 85,2% en 2013.
+61%
Crecen laspérdidas globales
por fraudes con tarjeta. The Nilson Report
calcula unas pérdidas de
$11.270 millonesen 2012.
$11.27MM
El requisito 11 (pruebas regulares delos sistemas y procesos de seguridad) sigue
en último lugar en 2013. Pero el cumplimientoha mejorado, desde un 11,3% en
2012 hasta un 40% en 2013.
En 2013, solo el 12,5% de las organizaciones que sufrieron una brecha
en los datos cumplían con la norma cuandose produjo la brecha, en comparación con
una media del 46,7% para todaslas organizaciones.
Es conveniente limitar el acceso a los datosde las tarjetas de pago solo a las personas que lo necesitan. La mayoría de las organizaciones saben que no es aceptable permitir que todos los usuarios accedan a todos los datos y
como resultado el cumplimiento ha subido al 77,8%.
En 2013, solo el 16,4% de las organizaciones que sufrieron una brecha en los datos cumplían con lanorma, en comparación con una media del 53,3% para
todas las organizaciones. Esto sugiere una relación directaentre la falta de cumplimiento y las brechas en los datos.
on 2012
Datos del Informe de Verizon sobre Cumplimiento PCI de 2014
1. The Nilson Report © 2013 2. Informe sobre Investigaciones de Brechas en los Datos de 2013 de Verizon© 2014 Verizon. Todos los derechos reservados. Los nombres y logotipos de Verizon y Verizon Business, además de todos los demás nombres, logotipos y lemas que identifican los productos y servicios de Verizon, son marcas comerciales o registradas de Verizon Trademark Services LLC o sus filiales en Estados Unidos y otros países. Todas las demás marcas comerciales o de servicio son propiedad de sus dueños respectivos.
Informe de Verizon sobre Cumplimiento PCI de 2014 en verizonenterprise.com/es/pcireport/2014
Su marca y su reputación dependen de la seguridad de los datosLa gente hace negocios con empresas en las que confía. Sin embargo, solo una de cada nueve organizaciones (11,1%) cumple con todos los controles en la evaluación inicial. Si se produce una brecha, no solo se pierden datos y la confianza de los clientes, sino que puede causar interrupciones de las operaciones, multas y pérdidas de ingresos. En 2012, el fraude con tarjeta resultó en unas pérdidas mundiales de 11.270 millones de dólares.1 Con todo lo que depende de los datos de los clientes, protegerlos es más importante que nunca.Requisitos de PCI DSS
1 Instalar y mantener una configuración de cortafuegos para proteger los datos.
2 No utilizar las contraseñas y otrosparámetros de seguridad predeterminados por los proveedores de equipos.
3 Proteger los datos de las tarjetas de pago.
4 Cifrar la transmisión de datos de tarjetas en todas las redes públicas abiertas.
5 Emplear y actualizar con regularidad el software o programas antivirus.
6 Crear y mantener sistemas y aplicaciones seguras.
7 Restringir el acceso a los datos de las tarjetas según la necesidad.
8 Asignar un identificador exclusivo a cada persona con acceso a sistemas informáticos.
9 Restringir el acceso físico a los datos de las tarjetas.
10 Efectuar un seguimiento y vigilar el acceso a los recursos de la red y a los datos de los titulares de las tarjetas.
11 Someter a prueba los sistemas y procesos de seguridad con regularidad.
12 Mantener directrices sobre la seguridad de la información para todo el personal.
