PCI Araştırması Bazı Satıcıların Antivirüs Yazılımını Kullanmadığını Bulur

Tüketiciler, daha küçük perakendecilerle iş yaparken verilerinin kontrolünü kaybetme riskiyle karşı karşıya kalıyorlar, çünkü birçoğu Ödeme Kartı Endüstrisinin Veri Güvenliği Standardına (PCI DSS) uymak için yatırım yapmadı. Yeni bir araştırmaya göre.

560 ABD ve çok uluslu kuruluşu kapsayan anket, katılımcılara 2005 yılında piyasaya sürdüğü PCI DSS'ye uyum sağlamak için yatırımları ve teknoloji kullanımı hakkında çeşitli sorular sordu. Müşteri ödeme verilerini korumak için tasarlanan büyük kredi kartı şirketleri tarafından yaratılmıştır.

Araştırma, kuruluşların yüzde 55'inin yalnızca kredi kartı bilgilerini sağladığını, ancak Sosyal Güvenlik ve diğer lisans numarası veya banka hesabı bilgileri. Ayrıca, 501 ila 1000 çalışan arasındaki küçük şirketlerin sadece yüzde 28'i PCI DSS ile uyumludur. Bu, büyük tüccarların yüzde 70'inden fazlasının, uyumlu olduklarını iddia eden 75.000 veya daha fazla çalışanı ile karşılaştırır.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

"Daha büyük organizasyonlara giderseniz iş, bugün güvende olma olasılığınız daha yüksektir, "diyen Imperva CTO'su Amichai Shulman, şirketlerin PCI DSS ile uyum sağlaması için güvenlik yazılımı yapıyor. Shulman, Imperva'nın gizlilik ve bilgi güvenliği politikasına yönelik araştırmalar yürüten bir şirket olan Ponemon Institute'ün anketini devreye aldı.

Şirketlerin PCI DSS'ye uymalarının temel nedeni maliyettir. Shulman, "Uyumlu olma çabasına girmiyorlar çünkü hepsi ya da hiçbir şey yok, bu yüzden şu anda hiçbir şey yapmıyorlar" dedi.

Daha büyük şirketler maliyetleri ele almak için biraz daha kolay buluyor, dedi. Firmalar ortalama olarak, IT güvenlik bütçelerinin yaklaşık yüzde 35'ini PCI DSS uyumluluğuna geçiriyorlar.

Ödeme kartı şirketleri, uyumluluğu kabul ediyor ve çoğu tüccar, PCI Güvenlik Standartları Konseyi'nin Web sitesinde yer alan bilgilere göre, şu an itibariyle uyumlu olacak.

Anket, diğer bazı rahatsız edici sonuçlara yol açtı. PCI DSS uyumlu olduklarını söyleyen katılımcıların yaklaşık yüzde 10'u, antivirüs, güvenlik duvarları ve SSL (Güvenli Yuva Katmanları) gibi temel güvenlik yazılımlarını kullanmadıklarını söyledi.

PCI, belirli bir yazılım ürünleri yerine güvenlik duvarı ve antivirüs kullanımı gibi uygulamaları ve genel tavsiyeleri teşvik eder. Son yıllarda, satıcılar PCI DSS uygulamasını daha kolay hale getirmek için ürünler geliştirdiler. Yine de, sonuç şaşırtıcıydı ve bazı şirketlerin PCI DSS ile karşılaştığı kafa karışıklığı veya zorluğunun göstergesiydi.

"PCI uyumluluğumun bir parçası olarak neden SSL kullanmıyor olduğumu açıklamak çok zor olurdu," Shulman dedim. “İhtiyacın yanlış yorumlanması için çok fazla yer olduğu ve şirketlerin bunu kötüye kullandıkları görülüyor.”

PCI DSS güncellendi ve anket olarak kullanılacak. 2006 yılında büyük kredi kartı şirketleri tarafından kurulan PCI Güvenlik Standartları Konseyi, Eylül 2010'da piyasaya sürülmesinden ötürü, standardın yeni versiyonuna ilişkin değişiklikler için 31 Ekim'e kadar geri bildirim toplamaktadır.