'Naleving PCI DSS-standaard opnieuw slechter'

De cijfers komen uit een rapport van Verizon op basis van 302 PCI DDS-onderzoeken die het beveiligingsbedrijf voor een reeks organisaties deed. Daaruit blijkt dat het aantal bedrijven dat structureel aan de eisen uit de standaard voldoet voor het tweede jaar op rij gedaald is. In 2017 werd namelijk nog gemeld dat 55 procent van de organisaties structureel aan de regels voldoet.

De PCI DDS-standaard is een set aan regels gericht op bedrijven die met creditcardgegevens te maken hebben. Alle organisaties die dergelijke gegevens opslaan, verwerken of versturen, moeten aan de eisen uit de standaard voldoen. De PCI Council, die bestaat uit een aantal grote creditcardmaatschappijen, houdt het toezicht op de naleving van de regels. 

Grote regionale verschillen

Maar bedrijven voldoen dus lang niet allemaal aan de gestelde eisen. “Na een geleidelijke toename van de nalevingsgraad tussen 2010 en 2016 zien we nu een zorgwekkende neerwaartse trend en toenemende geografische verschillen”, aldus Rodolphe Simonetti, Global Managing Director for Security Consulting bij Verizon. 

De meeste problemen doen zich volgens het rapport met name voor op het Amerikaanse continent. Daar leeft 20,4 procent van de bedrijven de regels volledig na. In Europa ligt dat aantal iets hoger, namelijk op 48 procent. In de Azië-Pacific-regio voldoen de meeste bedrijven aan de regels, namelijk 69,9 procent. 

Het niet voldoen aan de standaard vergroot ook de kans op een datalek, blijkt uit onderzoek van Verizon. “We hebben het al jaren over de nauwe correlatie tussen het gebrek aan PCI DSS-naleving en cyberaanvallen", vertelt Simonetti. "Uit onze gegevens blijkt dat we nog nooit een lek in de beveiliging van betaalkaarten hebben vastgesteld bij een organisatie die voldoet aan de PCI DSS-normen."