E’tempo di feste e i retailer, alle prese con la stagione dello shopping natalizio, diventano ancora più vulnerabili a potenziali attacchi da parte di criminali informatici.
E’estremamente importante, a questo proposito, ricordare che le minacce non arrivano solo dall’esterno, ma che sempre più spesso i problemi si verificano a partire da errori apparentemente innocui e per mancanza di controllo interno.
Verizon Enterprise Solutions offre quindi ai retailer alcuni suggerimenti per la sicurezza che dovrebbero essere in cima alla loro checklist, il tutto a partire dall’applicazione di semplici protocolli di sicurezza che aiuteranno a proteggere clienti, attività e brand.
Innanzitutto è importante mantenere la conformità PCI-DSS (Payment Card Industry Data Security Standards), che richiede di rispettare in modo continuativo quanto previsto dagli standard. Ciò significa verifica quotidiana dei log, monitoraggio settimanale dell’integrità dei file, analisi trimestrale delle vulnerabilità e penetration test annuale. Per continuare ad essere conformi Verizon consiglia di identificare un responsabile PCI interno così che il rispetto di questi standard diventi parte dell’attività quotidiana di business nel periodo delle festività così come durante tutto il resto dell’anno.
Un altro elemento da non sottovalutare è che le auto-valutazioni devono essere caute o, in alternativa, ci si può affidare ad un esperto autorevole: i top-tier merchant, che processano i volumi più elevati di transazioni con carte di credito, sono autorizzati all’autovalutazione rispetto agli standard PCI, ma a causa dei numerosi problemi e conflitti di interesse che questo può causare Verizon raccomanda di affidarsi comunque a una terza parte esperta, imparziale e credibile che certifichi tale valutazione o effettui direttamente i test necessari.
Il terzo consiglio è quello di prepararsi a PCI-DSS 3.0: anche se il 2014 è considerato un anno di transizione per l’implementazione, il PCI Security Standards Council ha recentemente rilasciato nuove linee guida; in ambito retail, per garantire la sicurezza dell’intera organizzazione, non sempre è possibile attendere che le scadenze previste dalla compliance entrino in vigore.
Verizon raccomanda poi di avvalersi esclusivamente di vendor di servizi di sicurezza esperti. Il Verizon Data Breach Investigations Report ha rivelato che le piccole imprese e i franchisee di grandi catene sono i più vulnerabili al cybercrimine. Se un vendor esterno gestisce i sistemi POS del retailer, quest’ultimo dovrebbe chiedere conferma al vendor che siano in atto le misure necessarie per la conformità PCI.
Altri suggerimenti sono quelli di educare i dipendenti affinché riconoscano le violazioni alla sicurezza e aiutino a mantenere attive le misure di protezione e di cambiare spesso le password amministrative per tutti i sistemi POS.
Nell’era del retail omni-channel occorre poi accertarsi che i canali online e mobili siano sicuri e ciò si traduce in un’azione di protezione delle risorse Web esposte verso l’esterno, ottime per attirare clienti ma nel contempo veri e propri magneti per richiamare cyber criminali, e dei mobile asset nei punti vendita mediante la gestione di dispositivi mobili in grado di approvare l’accesso ai dati aziendali da parte dei dipendenti autorizzati, crittografare le informazioni, proteggere dai virus, bloccare e cancellare da remoto i dati corporate sui dispositivi.
Infine, è fondamentale implementare un firewall o una ACL (Access Control List) sui servizi di accesso remoto e amministrazione. Se gli hacker non possono raggiungere il sistema di un retailer, non potranno sottrarre nulla con facilità.
