Аналитическая компания InsightExpress (по заказу Cisco) опросила 500 предприятий из США, принимающих решения в области информационных технологий, чтобы выяснить их отношение к стандарту Payment Card Industry Data Security Standard (PCI DSS) через пять лет после его разработки и в момент выхода его новой, второй версии.
В опросе приняли участие ИТ-руководители, отвечающие за соблюдение спецификаций PCI в организациях из сферы образования, финансовых услуг, государственного управления, здравоохранения и розничной торговли.
Выяснилось следующее:
- 70% опрошенных считают, что соблюдение стандарта PCI DSS делает их организации более защищенными;
- 87% опрошенных полагают, что требования стандарта PCI DSS необходимы для защиты данных держателей платежных карт;
- из всех отраслей лучше всех выполняют требования PCI DSS предприятия розничной торговли и финансовые организации;
- 67% опрошенных ожидают, что в течение ближайшего года их расходы на соблюдение стандарта PCI DSS будут возрастать, это значит, что руководители компаний и члены советов директоров считают PCI DSS весьма важной инициативой;
- 60% опрошенных предположили, что усилия по соблюдению стандарта PCI DSS могут стимулировать другие проекты, связанные с сетями и сетевой безопасностью.
Отвечая на вопрос о проблемах соблюдения спецификаций PCI DSS, респонденты чаще всего упоминали необходимость обучения сотрудников правильному обращению с данными держателей платежных карт. 43% опрошенных испытывают с PCI DSS проблемы, а 32% упомянули необходимость обновления устаревших систем.
По мнению респондентов, из 12 требований PCI DSS труднее всего соблюдать требования к отслеживанию и мониторингу случаев доступа к сетевым ресурсам и пользовательским данным (37%), разработке и поддержке безопасных систем и приложений (32%) и защите хранимых данных держателей карт (30%).
Сообщается, что с аудитом требований PCI DSS лучше всех справляются государственные организации. Подавляющее большинство других организаций тоже стараются защитить конфиденциальные данные держателей карт. 85% опрошенных считают, что в настоящий момент их организации способны успешно пройти аудит PCI DSS, а 78% успешно прошли такой аудит с первого раза.
Наиболее высокие результаты здесь показали государственные организации: 85% госучреждений прошли аудит PCI DSS с первого раза успешно. Хуже всего проходили такой аудит медицинские организации (72%). Более 85% опрошенных знакомы с разъяснениями и рекомендациями по недавно объявленной новой версии стандарта PCI DSS 2.0.