Организации по-прежнему не способны обеспечить должный уровень безопасности
данных, подвергая своих клиентов постоянному риску кражи идентификационной
информации.
В результате исследования, проведенного Ponemon Institute при изучении
вопроса об уровне соответствия стандартам безопасности
Payment Card Industry Data Security
Standard (PCI DSS), выяснилось, что в 55% организаций обеспечивается
безопасность лишь данных кредитных карт, при этом другая важная информация,
например, номера водительских удостоверений, банковских счетов и социальных
карт, не так хорошо защищена. Опрос, проведенный среди пятисот действующих
сотрудников американских и международных компаний, свидетельствует, что
наибольшему риску кражи данных подвергаются клиенты небольших фирм, имеющих дело
с платежами посредством кредитных карт.
Стоит отметить, что после вступления PCI DSS в силу в июне 2005 года число
утечек данных и количество мошеннических операций с кредитными картами лишь
продолжило возрастать, однако в исследовании Ponemon Institute приводятся
сведения о том, что у компаний, исповедующих стратегический подход к соблюдению
требований PCI, число таких утечек меньше.
К сожалению, подобный стратегический подход чужд семидесяти одному проценту
фирм, при этом 73% респондентов признали, что используют систему стандартизации
PCI DSS лишь в качестве базового руководства. Трое из пяти опрошенных при этом
ссылаются на дефицит ресурсов для обеспечения более полного соответствия
стандарту PCI DSS.
Помимо этого, авторы исследования обнаружили, что среди предприятий малого и
среднего бизнеса (с численностью персонала до 1000 человек) требованиям PCI DSS
соответствует лишь 28% организаций, тогда как для крупных компаний (с
количеством сотрудников от 75 000 человек) этот показатель равен 70%.
В настоящее время положения стандарта PCI DSS находятся на рассмотрении,
крайний срок подачи собственных предложений компаниями установлен на 31 октября.
Эксперты многих фирм, занимающихся безопасностью данных, полагают, что
целесообразным будет ввести в стандарт дифференцированные требования
безопасности, в зависимости от размера компаний и сложности иерархической
структуры их сетей. Такой подход позволит более экономно и эффективно
расходовать средства и обеспечить лучший уровень соответствия требованиям PCI.
