11.1%
4
9
EN2013, SOLO
EL 11,1%
DELASORGANIZACIONES
EVALUADASCUMPLÍAN
CONLATOTALIDAD
DELAPCI-DSS
1
2
3
5
6
78
Cumplimiento...
Upcoming SlideShare
Loading in …5
×

Informe de Verizon sobre Cumplimiento PCI de 2014

537 views

Published on

Solo el 11,1% de las organizaciones evaluadas cumplían con la totalidad de la PCI-DSS Explore algunos datos vinculados a 12 de los requisitos PCI DSS y descubra la evaluación del cumplimiento año tras año http://vz.to/1h9TjEF

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
537
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
7
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Informe de Verizon sobre Cumplimiento PCI de 2014

  1. 1. 11.1% 4 9 EN2013, SOLO EL 11,1% DELASORGANIZACIONES EVALUADASCUMPLÍAN CONLATOTALIDAD DELAPCI-DSS 1 2 3 5 6 78 Cumplimientodel0% Cumplimientodel100%Escaladecumplimiento 4 10 11 12 9 84,4% 73,3% 77,8% 84,4% 86,7% 73,3% 68,9% 73,3% 82,2% 97,8% 95,6% 80,0% 80,0% 51,1% 80,0% 55,6% 91,1% 97,8% 95,6% 93,3% 95,6% 95,6%93,3% 84,4% 82,2% 44,4% 80,0% 93,3% 88,9% 88,9% 80,0% 84,4% 88,9% 80,0% 73,3% 66,7% 84,4% 82,2%93,3%93,3% 88,9% 71,1% 84,4% 86,7% 73,3% 73,3% 75,6%100% 73,3%53,3% 93,3% 100% 75,6% 77,8% 51,1% 93,3% 80,0% 84,4% 73,3% 100% 95,6% 77,8% Solo el 53,3% de las organizaciones no utilizaban las contraseñas predeterminadas por los proveedores. Muchas tenían dificultades con los sub-controles de 2.2.2; solo el 50,5% cumplía con los dos. En 2013, el 80% de las organizaciones lo cumplían, el segundo de nuestro estudio. Todas las que incumplían el requisito 4, fallaban el 4.1.a, cifrado de datos en redes públicas abiertas. En 2012, solo un tercio de las medidas antivirus de las empresas (34%) cumplían todos los controles. Para 2013, el cumplimiento había subido al 84,4%. Solo el 13,2% de las organizaciones cumplían todos los controles de almacenamiento de datos en 2012 . En 2013, esta cifra subió al 55,6%. Más del 70% de las organizaciones cumplían con el 80–99% de los controles en 2013 (45 puntos más que en 2012) +180% * En 2013, el 11,1% de las organizaciones cumplían con la totalidad de los requisitos en la fecha de su evaluación inicial, en comparación con el 7,5% de 2012. +48% Esta tendencia resulta prometedora, con el 46,9% de las organizaciones cumpliéndolo. Pero la gestión de los registros sigue planteando dificultades. Esto ayuda a detectar los primeros signos de un ataque y a reducir la pérdida de datos si se produce una brecha. El 35% de las brechas involucraban ataques físicos y dispositivos de punto de venta como objetivos frecuentes. Entre 2012 y 2013, el cumplimiento con el requisito 9 casi se triplicó hasta un 75,6%. 2 Desde 2012 hasta 2013, el cumplimiento se duplicó hasta el 35,6%. No obstante, las organizaciones siguen sin implementar dos controles importantes —bloquear las cuentas después de seis intentos fallidos de acceso y cerrar sesiones inactivas al cabo de 15 minutos— lo que hace que a los delincuentes les sea más fácil hacerse con cuentas de usuarios. Las organizaciones se han dado cuenta de que una seguridad eficaz exige vigilancia en toda la organización. El cumplimiento con el requisito 12 subió del 17% en 2012 al 55,6% en 2013. Elcumplimiento mediohasubido del52,9%en2012 al85,2%en2013. +61% Crecen las pérdidas globales por fraudes con tarjeta. The Nilson Report calcula unas pérdidas de $11.270 millones en 2012. $11.27 MM El requisito 11 (pruebas regulares de los sistemas y procesos de seguridad) sigue en último lugar en 2013. Pero el cumplimiento ha mejorado, desde un 11,3% en 2012 hasta un 40% en 2013. En 2013, solo el 12,5% de las organizaciones que sufrieron una brecha en los datos cumplían con la norma cuando se produjo la brecha, en comparación con una media del 46,7% para todas las organizaciones. Es conveniente limitar el acceso a los datos de las tarjetas de pago solo a las personas que lo necesitan. La mayoría de las organizaciones saben que no es aceptable permitir que todos los usuarios accedan a todos los datos y como resultado el cumplimiento ha subido al 77,8%. En 2013, solo el 16,4% de las organizaciones que sufrieron una brecha en los datos cumplían con la norma, en comparación con una media del 53,3% para todas las organizaciones. Esto sugiere una relación directa entre la falta de cumplimiento y las brechas en los datos. on2012 Datos del Informe de Verizon sobre Cumplimiento PCI de 2014 1. The Nilson Report © 2013 2. Informe sobre Investigaciones de Brechas en los Datos de 2013 de Verizon © 2014 Verizon. Todos los derechos reservados. Los nombres y logotipos de Verizon y Verizon Business, además de todos los demás nombres, logotipos y lemas que identifican los productos y servicios de Verizon, son marcas comerciales o registradas de Verizon Trademark Services LLC o sus filiales en Estados Unidos y otros países. Todas las demás marcas comerciales o de servicio son propiedad de sus dueños respectivos. Informe de Verizon sobre Cumplimiento PCI de 2014 en verizonenterprise.com/es/pcireport/2014 Su marca y su reputación dependen de la seguridad de los datos La gente hace negocios con empresas en las que confía. Sin embargo, solo una de cada nueve organizaciones (11,1%) cumple con todos los controles en la evaluación inicial. Si se produce una brecha, no solo se pierden datos y la confianza de los clientes, sino quepuede causar interrupciones de las operaciones, multasy pérdidas de ingresos. En 2012, el fraude con tarjeta resultó en unas pérdidas mundiales de 11.270 millones de dólares.1 Con todo lo que depende de los datos de los clientes, protegerlos es más importante que nunca. Requisitos de PCI DSS 1 Instalar y mantener una configuración de cortafuegos para proteger los datos. 2 No utilizar las contraseñas y otros parámetros de seguridad predeterminados por los proveedores de equipos. 3 Proteger los datos de las tarjetas de pago. 4 Cifrar la transmisión de datos de tarjetas en todas las redes públicas abiertas. 5 Emplear y actualizar con regularidad el software o programas antivirus. 6 Crear y mantener sistemas y aplicaciones seguras. 7 Restringir el acceso a los datos de las tarjetas según la necesidad. 8 Asignar un identificador exclusivo a cada persona con acceso a sistemas informáticos. 9 Restringir el acceso físico a los datos de las tarjetas. 10 Efectuar un seguimiento y vigilar el acceso a los recursos de la red y a los datos de los titulares de las tarjetas. 11 Someter a prueba los sistemas y procesos de seguridad con regularidad. 12 Mantener directrices sobre la seguridad de la información para todo el personal.

×