La conformità PCI riduce veramente i rischi e migliora la sicurezza?

Una buona domanda, ma forse dovresti esprimerla "La sicurezza di danneggiare PCI".

Per rispondere a entrambe le domande, mi differenziano molto approssimativamente tra due tipi di organizzazioni (anche se la maggior parte cade tra questi due estremi):

• Organizzazioni consapevoli della sicurezza, che eseguono regolarmente analisi basate sui rischi aziendali, dispongono di un SDL completo, eseguono tutte le mosse giuste, ecc.
• Organizzazioni incoscienti della sicurezza, che non hanno alcun interesse a fare ciò che non sono assolutamente costretti a fare, e specialmente non se non fanno soldi.

Per il secondo gruppo, PCI è assolutamente d'aiuto, molto, nei seguenti modi:

• Consapevolezza (ora qualcuno ha almeno permesso di menzionare la sicurezza e, si spera, ne stiano parlando tutti)
• Budget - poiché altrimenti la direzione non avrebbe mai assegnato risorse di alcun tipo per investire in qualsiasi forma di sicurezza, ora almeno sono costretti a pagare almeno un servizio a parole.
• Minima linea di base delle attività meno comuni denominatore. (Si spera che questo includa la formazione degli sviluppatori, che aiuta più di qualsiasi regolamento ...)

Fondamentalmente li costringe a riconoscere la sicurezza, e spero che ne deriverà un po 'di bene aggiuntivo.

Per il primo gruppo, ci sono due (due e mezzo) conseguenze principali:

• Ci sono (rare) situazioni in cui l'organizzazione deve scegliere tra una vera soluzione di sicurezza e la conformità con il display LCD generico.
• Il budget è ora assegnato con forza allo schermo LCD minimo e generico come definito da un gruppo esterno che non sa nulla della propria attività. (Questo budget sarebbe probabilmente più utile in diverse attività di sicurezza / prodotti / ecc.)
• La gestione è più veloce nel trasferire qualsiasi investimento di sicurezza che non sia direttamente richiesto dal PCI - "se non ne hanno bisogno / se è abbastanza buono per loro senza, perché dovremmo preoccuparci?" oppure "Se fosse importante, PCI lo avrebbe richiesto".

In questo caso, PCI sta facendo più male che bene, dal momento che farli costruire in sicurezza non è un problema per queste organizzazioni.

Tuttavia, un vantaggio della conformità PCI che è condiviso su tutta la linea:

PCI compliance reduces the risk of the penalties of non-compliance.

La prima cosa che devi sapere è che PCI DSS NON è inteso a proteggere la tua organizzazione. Ha lo scopo di proteggere le reti di pagamento e l'ecosistema di pagamento. Questo può sembrare strano per molti, ma basta chiedere Visa e Mastercard.

Sono d'accordo con i commenti di AviD. La "conformità PCI" riduce alcuni rischi specifici e probabilmente rende più sicure quelle organizzazioni (che non stanno facendo nulla). Ma la conformità PCI non dovrebbe essere l'obiettivo finale di nessuna organizzazione.

Un'altra cosa da chiarire è che esiste una GRANDE differenza tra la "conformità PCI" e l'effettivo esercizio di tutti i requisiti di PCI DSS in un modo commisurato al rischio. Molte organizzazioni sono "conformi" (o pensano di esserlo) oggi a causa di una scarsa interpretazione di PCI DSS o perché non hanno effettuato una valutazione completa del gap.

Come esperienza, ho lavorato per un processore di carte di credito, PCI ci ha aiutato a

1) Attira l'attenzione dei manager di alto livello (la sicurezza è diventata importante quando hanno saputo che avremmo potuto perdere i diritti di lavorare con VISA e Mastercard).

2) La sicurezza ha avuto la possibilità di entrare a far parte del ciclo di vita dello sviluppo in tutta l'azienda, e gli sviluppatori hanno iniziato a pensare 2 volte prima di dare una soluzione come "salvare il numero di sicurezza in questo txt e lasciarlo lì, in giro , in un desktop utilizzato da 30 persone "

3) La sicurezza ha il budget per gestire l'eredità, metterla in conformità, ripensare le vecchie soluzioni e trovare nuove soluzioni per i vecchi hack

Quindi, secondo me, la conformità PCI non rende la tua azienda più sicura, sì, ha l'obiettivo principale di proteggere VISA e Mastercard, ma aprirà alcune porte alla sicurezza, ti darà più budget e può aiutarti a rivedere la tua eredità e ad essere più diligente con il ciclo di vita dello sviluppo del software in generale.

PCI DSS aiuta PCI SSC (PCI Council) a fare soldi, e in gran parte.

Aiuta anche i partner PCI SSC a fare soldi, e in gran parte.

Non "aiuta" la sicurezza, o la sicurezza della comunità in alcun modo particolare. Posso citare numerosi esempi di come danneggia la postura di sicurezza delle informazioni delle organizzazioni e ostacola la loro capacità di eseguire un'adeguata gestione della sicurezza delle informazioni e la gestione del rischio. Tuttavia, il miglior esempio è che ci vuole denaro lontano da buoni progetti e lo consegna nelle mani del PCI SSC e dei loro partner (vedi sopra), che sembrano sempre finanziare progetti cattivi. Questo è anche il modo in cui funziona SANS.

Dire che la conformità PCI DSS riduce i rischi e migliora la sicurezza è come dire che Jenny Craig (o Weight Watchers) riduce il grasso e migliora la felicità.

Direi che ci sono alcune cose nel PCI-DSS che hanno senso per molte aziende (anche quando non elaborano le carte di credito), e che sì, se implementate correttamente questo può rendere un'organizzazione più sicuro. Oltre a ciò, tutto dipende dalla mentalità (per quanto riguarda il PCI-DSS) dell'organizzazione che cerca di raggiungere la conformità PCI-DSS.