PCI-undersökning finner att vissa återförsäljare inte använder antivirusprogramvara

Undersökningen, som omfattade 560 amerikanska och multinationella organisationer, frågade respondenterna en rad frågor om deras investeringar och användning av teknik för att följa PCI DSS, som infördes 2005. Det är en industristandard skapad av stora kreditkortsföretag som är utformade för att skydda kundbetalningsdata.

Undersökningen visade att 55 procent av organisationerna endast säkrade kreditkortsinformation men inte andra uppgifter som social trygghet och torr ver licensnummer eller bankkontodetaljer. Dessutom överensstämmer endast 28 procent av mindre företag mellan 501 och 1000 anställda med PCI DSS. Det jämförs med mer än 70 procent av de stora handlarna med 75 000 eller fler anställda som hävdade att de överensstämmer.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

"Om du går de större organisationerna att göra företag, du är mer sannolikt att vara säker idag, säger Amichai Shulman, CTO för Imperva, vilket gör säkerhetsprogram för företag att följa PCI DSS. Imperva beställde undersökningen från Ponemon Institute, ett företag som bedriver forskning kring integritets- och informationssäkerhetspolitik.

Den främsta orsaken till att företag inte följer PCI DSS är kostnad, säger Shulman. "De går inte till ansträngningarna för att vara kompatibla eftersom det är allt eller ingenting, så de gör för närvarande ingenting", säger Shulman.

Större företag tycker det är lite lättare att hantera kostnaderna, sa han. I genomsnitt brukar företag spendera cirka 35 procent av sina IT-säkerhetsbudgetar för PCI DSS-överensstämmelse.

Betalningskortföretag mandat överensstämmelse, och de flesta handlare ska enligt nu vara kompatibla enligt informationen på PCIs säkerhetsstandardrådets webbplats.

Undersökningen visade upp några andra störande resultat. Omkring 10 procent av de svarande som sa att de var PCI DSS-kompatibla sa att de inte använde grundläggande säkerhetsprogram som antivirus, brandväggar och SSL (Secure Sockets Layers), säger Shulman.

PCI föreskriver inte användningen av specifika mjukvaruprodukter, men istället främjar praxis och allmänna råd, till exempel användning av brandvägg och antivirusprogram. Under de senaste åren har leverantörer utvecklat produkter för att underlätta implementeringen av PCI DSS. Ändå var resultatet överraskande och indikerar att det kanske fortsätter förvirring eller svårigheter som vissa företag har med PCI DSS.

"Jag skulle vilja finna det mycket svårt att förklara varför jag inte använder SSL som en del av min PCI-överensstämmelse," Shulman sa. "Det verkar för mig att det finns för mycket utrymme för feltolkning av kravet och företag missbrukar det."

PCI DSS håller på att uppdateras och undersökningen kommer att användas som input. PCI Security Standards Council, som inrättades av större kreditkortsföretag under 2006, samlar in feedback till och med 31 oktober om ändring av en ny version av standarden som beräknas släppas i september 2010.