Encuesta PCI encuentra que algunos comerciantes no usan software antivirus

Los consumidores enfrentan un mayor riesgo de perder el control de sus datos cuando hacen negocios con minoristas más pequeños, ya que muchos no han realizado inversiones para cumplir con el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), de acuerdo con una nueva encuesta.

La encuesta, que cubrió 560 organizaciones estadounidenses y multinacionales, formuló a los encuestados una variedad de preguntas sobre sus inversiones y despliegue de tecnología para cumplir con PCI DSS, que se introdujo en 2005. Es un estándar de la industria creado por las principales compañías de tarjetas de crédito que está diseñado para proteger los datos de pago de los clientes.

La encuesta encontró que el 55 por ciento de las organizaciones solo aseguraron la información de la tarjeta de crédito, pero no otros datos como la Seguridad Social y el Dri. ver los números de licencia o detalles de la cuenta bancaria. Además, solo el 28 por ciento de las empresas más pequeñas entre 501 y 1,000 empleados cumplen con PCI DSS. Eso se compara con más del 70 por ciento de los grandes comerciantes con 75,000 o más empleados que afirmaron ser obedientes.

[Lectura adicional: Cómo eliminar el malware de su PC con Windows]

"Si se dirige a las organizaciones más grandes para hacer "Es más probable que hoy esté seguro", dijo Amichai Shulman, CTO de Imperva, que fabrica software de seguridad para que las empresas cumplan con PCI DSS. Imperva encargó la encuesta al Ponemon Institute, una empresa que realiza investigaciones sobre política de privacidad y seguridad de la información.

La principal razón por la que las empresas no cumplen con las PCI DSS es el costo, dijo Shulman. "No se esfuerzan para ser obedientes porque es todo o nada, así que actualmente no hacen nada", dijo Shulman.

A las compañías más grandes les resulta algo más fácil manejar los costos, dijo. En promedio, las compañías de tarjetas de pago exigen el cumplimiento, y se supone que la mayoría de los comerciantes ya cumplen, de acuerdo con la información en el sitio web del PCI Security Standards Council.

La encuesta arrojó algunos resultados desconcertantes. Alrededor del 10 por ciento de los encuestados que respondieron que cumplían con PCI DSS dijeron que no estaban usando software de seguridad básico como antivirus, firewalls y SSL (Secure Sockets Layers), dijo Shulman.

PCI no prescribe el uso de software, sino que promueve prácticas y consejos generales, como el uso de un firewall y antivirus. En los últimos años, los proveedores han desarrollado productos para facilitar la implementación de PCI DSS. Aún así, el resultado fue sorprendente e indicativo de la continua confusión o dificultad que algunas empresas tienen con las PCI DSS.

"Me sería muy difícil explicar por qué no estoy usando SSL como parte de mi cumplimiento PCI", dijo Shulman. dijo. "Me parece que hay demasiado margen para malinterpretar el requisito, y las empresas lo están abusando".

PCI DSS está en proceso de actualización, y la encuesta se usará como entrada. El PCI Security Standards Council, que fue establecido por las principales compañías de tarjetas de crédito en 2006, está recopilando comentarios hasta el 31 de octubre sobre los cambios en una nueva versión del estándar, cuyo lanzamiento está previsto para septiembre de 2010.