PCI DSS. Sei Compliant?

PCI DSS. Sei Compliant?

Nell’agosto 2019, i giornalisti si sono rivolti alla sede centrale di una compagnia di assicurazioni sulla ita Detroit a seguito di notizie preoccupanti che stavano trapelando. Migliaia di clienti dell’azienda avevano perso denaro a causa di una violazione della sicurezza. Il CEO della compagnia di assicurazioni sulla vita ha rilasciato la seguente dichiarazione: “Abbiamo la vostra fiducia da due anni. Dateci 48 ore per identificare la fonte di questo furto e prendere le misure necessarie per invertire ciò che è successo”.

Con tutte le nuove forme di attacchi informatici, la fonte dell’attacco era difficile da identificare subito. Da un attacco interno a qualsiasi cliente che inconsapevolmente ha installato malware sul proprio dispositivo, le possibilità erano infinite. E con più clienti che perdevano i loro soldi, la situazione stava sfuggendo di mano.

PCI DSS. Se non sei compliant!

Un team di esperti di sicurezza IT ha scoperto che questa azienda, non era ancora pienamente conforme allo standard di sicurezza dei dati dell’industria dei pagamenti (PCI DSS). PCI DSS spinge tutte le aziende che accettano, elaborano, archiviano o trasmettono informazioni su carte di credito per mantenere un ambiente sicuro al fine di proteggere i clienti dalla perdita dei dettagli della carta e dall’essere derubati. Questo standard di sicurezza richiede ai commercianti di proteggere i dati dei titolari di carta, mantenere un programma di gestione delle vulnerabilità, attuare misure di controllo dell’accesso efficaci, monitorare e testare regolarmente le reti e mantenere una politica di sicurezza delle informazioni.

Un evidente problema riscontrato nell’agenzia era che ogni dipendente aveva accesso illimitato a tutti i dati dell’azienda. Ognuno poteva visualizzare informazioni sensibili come i dettagli dei titolari di carta. Non c’era controllo dell’accesso ai dati critici, che non è conforme alla clausola 7.1 PCI DSS.

Dopo una rapida scansione, gli esperti hanno identificato la fonte dell’attacco: l’account compromesso di un dirigente delle vendite. Dopo ulteriori indagini, hanno appreso che il dirigente delle vendite aveva lasciato il suo laptop aperto nella hall di un hotel durante un viaggio d’affari. portando a un esperto di computer con intenzioni maligne di ottenere l’accesso al suo account e ai dati sensibili. L’hacker ha ottenuto le credenziali dell’account di questo dirigente e derubato i clienti utilizzando le informazioni dei titolari di carta in remoto. Ciò significa che chiunque potrebbe accedere ai dati riservati solo con le credenziali richieste, violando la clausola PCI DSS 8.3.2.

PCI DSS. Consapevolezza.

Ci si pone quindi una domanda: le aziende di tutto il mondo sono consapevoli della necessità di conformarsi pienamente al PCI DSS? Il report sulla sicurezza dei pagamenti del 2019 di Verizon indica che il 63,3 per cento delle aziende non si è completamente conformato al PCI DSS nel 2018. Uno dei motivi principali di ciò è che la conformità al PCI DSS è un argomento molto tecnico da comprendere e viene rimosso dall’elenco delle priorità. Alcune aziende che rispettano lo standard ne escono subito dopo un audit.

Le aziende devono capire che esiste un legame diretto tra la conformità PCI DSS e la capacità di difendersi dagli attacchi informatici. ADAudit Plus aiuta a controllare e generare report su parametri come il successo e il fallimento dell’accesso, le modifiche apportate da utenti privilegiati, l’accesso ai file e la creazione e la cancellazione dei file, tutti elementi importanti per la conformità PCI DSS.

Gli alert in tempo reale possono fare la differenza tra una rete sicura e una violata. In ADAudit Plus, è possibile abilitare gli avvisi in tempo reale in base a condizioni e soglie personalizzate e inviare gli avvisi come e-mail o messaggio di testo. Inoltre, le misure di riparazione possono essere avviate automaticamente utilizzando script personalizzati quando viene rilevata una minaccia.

Prova subito la versione gratuita di ADAudit Plus: https://www.manageengine.it/active-directory-audit/ Se vuoi maggiori informazioni di carattere tecnico o commerciale contatta gli specialisti di Bludis allo 0643230077 o invia una e-mail a sales@bludis.it