Pesquisa: Estado inconsistente dos dados de segurança dos cartões de crédito através da América Latina

Fonte: vu

RSA anunciou os resultados de uma pesquisa dos negócios na América Latina com respeito ao estado dos dados de segurança dos cartões de crédito dentro de suas organizações -- e os planos que esse negócio tem com relação às medidas de proteção de novos dados.

Conduzida pela RSA no começo de 2008, a pesquisa foi desenhada para
alcançar uma visão de como as organizações estão armazenando e
protegendo dados do cartão de crédito no momento. O PCI DSS é o
melhor sistema de práticas que se aplica para todas as organizações
que coletam, processam ou armazenam informação de cartão de crédito.
Criado pelas maiores marcas de cartão de pagamento, o padrão é global
em alcance e é desenhado para assegurar a segurança dos dados do
consumidor de cartão de crédito através do ciclo de vida da
informação.

A pesquisa, resultado de 164 negócios através da região, ressalta um
estado diverso da questão:

-- Contrastando com os resultados de um estudo similar conduzido pela
RSA nos Estados Unidos em 2007, o lapso de tempo que um dado sensível
de autenticação de um comércio alcança amplamente os requerimentos do
PCI DSS
-- Dados de cartão de crédito residem em múltiplas camadas através da
infra-estrutura da informação -- tais como bases de dados e sistemas
de pontos de venda -- indicando que os maiores desafios estão à
frente na prevenção de perda de dados
-- Um número significativo de organizações ainda está por implementar
a aplicação de mecanismos básicos de segurança de informação
-- Enquanto que apenas metade dos pesquisados, aproximadamente,
tem conhecimento do PCI DSS, a maioria deles já tomou medidas para
alcançar os requerimentos -- e muitos estão preparados para cumprir
inteiramente até o final de 2008

A armazenagem de toda a informação encontrada no cartão de crédito
cria um risco de alto nível, já que essa informação, em sua
totalidade, pode ser usada para criar cartões de credito
falsificados. Uma vez que se autoriza uma transação, o PCI DSS proíbe
a armazenagem dos dados chave de autenticação, inclusive dos dados
completos da fita magnética, da informação PIN e do código CVV (Valor
de Verificação do Cartão). De maneira promissora, a maioria dos
entrevistados da pesquisa RSA (81%) segue o padrão PCI e não armazena
os dados completos de fita magnética, e um pouco mais (83%) nunca
armazenou códigos CVV. Isso contrasta com os resultados de um estudo
similar conduzido nos Estados Unidos em 2007, que revelou resultados
completamente diferentes.

Os entrevistados na América Latina identificaram quais sistemas dentro de suas redes de empresas armazena, processa ou transmite dados de cartão de crédito. Os resultados mostraram uma extensão dos dados de cartão de crédito através de muitas camadas da infra-estrutura da informação, criando o potencial para desafios de curto e longo prazo na prevenção de perda de dados. Os entrevistados da pesquisa perceberam que as localizações mais comuns para dados de cartão de crédito incluem: base de dados (37%); aplicações internas (34%); sistemas de ponto de venda (POS) (24%); sistemas de armazenagem (21%); arquivos e pastas nos servidores (12%); documentos não estruturados tais como planilhas eletrônicas (12%); e email (9%).Mecanismos para Proteger Dados de Cartão de Crédito: A tecnologia e o fator humano

De forma alarmante, apenas a metade dos entrevistados, aproximadamente, implementou tecnologias básicas de segurança centrada na informação para ajudar na proteção de informação sensível do cartão de crédito. Apenas 46% das empresas entrevistadas codificaram os dados armazenados de cartão de crédito; 49% não codificaram os dados de maneira alguma. Quando perguntados sobre se suas organizações rastreiam ou monitoram todos os acessos aos sistemas dentro de seu ambiente de membro do cartão, as respostas se dividiram (48% em cada caso), indicando que quase a metade das organizações representada no estudo tem conhecimento limitado sobre
quem tem acesso a essa informação crítica.

Fornecendo acesso remoto seguro aos empregados, sócios e terceirizados às redes da empresa que contém dados de cartão de crédito ajuda a reduzir o risco de exposição. Enquanto que muitos dos entrevistados do estudo (43%) aplicaram autenticação de dois fatores -- tais como segurança baseado em símbolo ou certificados -- mais da metade (52%) se arriscou ao não fornecer essa tecnologia de autenticação.

A pesquisa mostrou que a maioria dos entrevistados (60%) segue as
melhores práticas ao permitir acesso a informação de cartão de
crédito apenas entre uma e dez pessoas no total. Outros 20% relatam
que suas organizações permitem tais acessos entre 10-100 empregados --
e 15% indicaram que esse acesso é fornecido para mais de 100
indivíduos. Apesar das melhores práticas mostrarem que os dados de
cartão de crédito são mais seguros quanto menos pessoas tenham acesso
a eles, algumas organizações requerem que mais pessoas tenham acesso
de acordo com o tamanho de suas operações.

Além disso, o estabelecimento de políticas corporativas dirigidas a segurança dos dados do cartão de crédito dentro de uma organização também é fundamental para evitar perdas. Enquanto a pesquisa indica que cerca da metade (47%) das empresas entrevistadas tem em funcionamento essa política de dados de cartão de crédito, uma mesma quantidade não tem qualquer tipo de política.

Enquanto os prazos finais para o cumprimento do PCI -- e multas por não cumprimento -- ainda não foram amplamente reforçadas na América Latina, os prazos finais passaram em outras partes do mundo onde empresas latino-americanas conduzem negócios (Os prazos nos Estados Unidos expiraram em novembro de 2007). Quase a metade dos entrevistados da pesquisa na América Latina (47%) tinha conhecimento do padrão, mas um pouco mais (48%) não o conhecia de forma alguma.

Daqueles que têm conhecimento do PCI DSS:

-- A grande maioria (74%) respondeu que eles tomaram precauções para cumprir com seus requerimentos, mas alguns (18%) ainda não tinham tomada nenhuma providência
-- Mais de um terço (35%) estavam na frente na curva e, ou já cumpriram ou esperam cumprir dentro dos seis meses
-- Um quarto dos entrevistados (25%) antecipou o cumprimento em 6-12 meses e um número um pouco menor (17%) espera cumprir dentro dos próximos 1-2 anos. Um pequeno grupo de entrevistados (16%) não tem previsão em curso

"Estamos estimulados já que muitos dos negócios na América Latina estão trabalhando na direção certa e já tomaram as medidas preventivas para proteger a informação de seus clientes de cartão de crédito. Entretanto, para muitas organizações, os desafios da tecnologia que incluem o estabelecimento de processos, políticas e aplicação de mecanismos são ainda aparentes," disse Roberto Regente, diretor, América Latina, da RSA, a divisão de segurança da EMC.

"Temos confiança de que essas empresas terão sucesso em encontrar os padrões de segurança do cartão de crédito ao ter uma visão holística do gerenciamento de informação de risco. Isso irá ajudar, não só a encontrar os requerimentos reguladores, mas também a acelerar seus negócios e irá possibilitá-los a alcançar melhores resultados."

 
Fatos sobre a pesquisa de dados de segurança do cartão de crédito na América Latina conduzida pela RSA:

-- Um total de 164 participantes de negócios na América Latina responderam a pesquisa da RSA
-- A maioria das respostas foi gerada através de pesquisa online sobre negócios na América Latina no começo de 2008 (123 respostas)
-- Uma amostra menor (41 respostas) foi coletada em um evento na
Cidade do México
-- Os países com o maior número de taxa de respostas forma o México (39%), Brasil (24%), Argentina (9%), Colômbia (7%), Chile (6%), Venezuela (3%), Peru (3%) e Equador (3%)
-- Essa pesquisa fornece dados relacionados aos cartões de crédito e débito