Come un sito hackerato impatta sulla reputazione del tuo sito web
Di solito, quando si pensa alle violazioni dei dati, si pensa ai grandi siti Web aziendali. E' quindi solo un problema dei siti delle multinazionali la violazioni dei dati? In realtà non è affatto cosi.
Recentemente, Trustwave ha pubblicato un rapporto in cui si afferma che circa il 90% delle violazioni ha un impatto sui piccoli commercianti.
Ecco i primi 3 settori compromessi
- Ecommerce / Vendita al dettaglio
- Prodotti alimentari
- Hospitality
Questo grafico mostra i primi 3 settori che subiscono attacchi a causa di vulnerabilità e che consentono agli aggressori di rubare dati. Tuttavia, è bene tenere presente che questa è solo una stima perche qualsiasi sito Web potrebbe diventare una vittima.
Per i siti Web di maggiori dimensioni, gli standard PCI mostrano che il costo medio per una violazione è di 4 milioni di dollari, mentre il costo medio di una violazione dei dati per le piccole imprese può essere superiore a $ 36.000. Vi sono anche costi non monetari, inclusi il tempo e l'allocazione delle risorse.
Perché una violazione dei dati è così costosa e come vengono calcolate queste cifre?
Ecco alcuni fattori di costo della violazione dei dati:
Esame forense obbligatorio
PCI DSS richiede ai commercianti sospettati di avere una violazione dei dati di avere un esame forense obbligatorio.
Secondo Verizon Business, un esame di piccola impresa può costare tra $ 20K e $ 50K.
Notifica dei clienti
Se le informazioni finanziarie sono sospettate di essere compromesse, la maggior parte dei paesi richiede che i clienti vengano avvisati.
L'Università della Carolina del Nord a Chapel Hill ha dichiarato che una violazione dei dati del 2013 di 6000 studenti è costata alla scuola circa $ 80.000 in collaborazione con le parti interessate. In questo caso, le persone interessate da questa violazione dei dati hanno ricevuto lettere di notifica che spiegavano che i loro dati sensibili erano stati compromessi.
Le leggi sono state emanate dopo l'aumento di un numero enorme di violazioni della banca dati dei consumatori contenenti informazioni personali identificabili (PII).
Le aziende devono immediatamente divulgare una violazione dei dati ai clienti, solitamente per iscritto.
Monitoraggio della carta di credito del cliente interessato
Se si verifica una violazione, potrebbe essere necessario produrre fino a un anno di monitoraggio del credito e / o servizi di consulenza per i clienti interessati dalla violazione.
Ad esempio, Target ha subito una violazione dei dati nel 2013 e, successivamente, ha offerto un anno di monitoraggio del credito gratuito ai clienti interessati.
Multe di conformità PCI
Nel 2011, il 96% dei commercianti che hanno subito una violazione dei dati non aveva rispettato lo standard PCI DSS (Payment Card Industry Data Security Standard), il che significa che questi commercianti non seguivano i requisiti dello standard di sicurezza delle informazioni per le organizzazioni che gestiscono le carte di credito.
Ecco una panoramica degli obiettivi e dei requisiti PCI DSS:
| Obiettivi | Requisiti PCI DSS |
|---|---|
| Costruisci e gestisci una rete sicura |
|
| Proteggi i dati dei titolari di carte |
|
| Mantenere un programma di gestione delle vulnerabilità |
|
| Implementare forti misure di controllo dell'accesso |
|
| Mantenere un programma di gestione delle vulnerabilità |
|
| Mantenere una Politica di sicurezza |
|
Se l'indagine forense mostra che la tua azienda non è stata conforme, potrebbero essere applicate multe pesanti contro di te.
Secondo il pcicomplianceguide.org (o nella versione italiana it.pcisecuritystandards.org):
Responsabilità per addebiti fraudolenti
Molti commercianti ritengono di non avere alcuna responsabilità per una violazione dei dati. Questo non è sempre vero. In alcuni casi possono essere intraprese delle azioni legali volte a ribaltare la responsabilità sui commercianti per violazioni della sicurezza. In altre parole, i commercianti possono essere ritenuti responsabili di una violazione della sicurezza.
È importante sottolineare che la protezione delle informazioni sensibili dei clienti è responsabilità dell'utente. Ecco perché avere un sito Web sicuro è fondamentale per avere una buona credibilità online.
Costi di sostituzione della carta di credito
I commercianti possono essere obbligati dagli emittenti delle carte a pagare i costi di riemissione delle carte ai clienti.
Secondo la Consumer Bankers Association, il costo effettivo per sostituire una carta di credito o di debito include:
- la carta stessa,
- informare i consumatori di una riemissione delle carte,
- spedizione e attivazione della carta,
- comunicazione supplementare tramite call center e Internet.
- Queste tasse possono variare da $ 3 a $ 10 per carta.
Miglioramenti del sistema POS
A seconda della fonte della violazione, potrebbe essere necessario investire nell'upgrade o nella sostituzione del proprio sistema di punti vendita (POS).
Un sistema POS di solito include:
- server,
- Software,
- dispositivi di scorrimento della carta di debito / credito.
- Rivalutazione per la conformità PCI
- Al fine di qualificarsi per accettare nuovamente le carte, deve essere eseguita una valutazione PCI completa da parte di un Qualified Security Assessor (QSA) esterno.
Le società QSA (Qualified Security Assessor) hanno il diritto di convalidare l'aderenza di un fornitore allo standard PCI Data Security (PCI DSS). Eseguono una valutazione completa di un'azienda che gestisce i dati delle carte di credito rispetto agli obiettivi di controllo di PCI DSS.
Il costo della rivalutazione può variare in base al QSA prescelto.
Altri danni
Ci sono anche danni non monetari che possono essere molto difficili per te come venditore. Un recente studio condotto da Ponemon Institute e pubblicato sul sito dell'IBM mostra che:
- Il 57% delle persone ha perso fiducia e fiducia nell'organizzazione dopo una violazione dei dati.
- Il 31% delle persone ha interrotto la propria relazione con l'organizzazione dopo una violazione dei dati.
- Il 75% dei dirigenti ha affermato che la violazione dei dati ha avuto un impatto sulla reputazione dell'azienda.
Possiamo anche prendere in considerazione altri effetti collaterali, come:
Cattiva stampa
Immagina che uno dei tuoi clienti abbia una grande presenza sui social media, potrebbe avere un impatto negativo sul tuo marchio diffondendo un messaggio che la sua carta di credito è stata danneggiata dopo l'acquisto da parte tua.
Il danno che può subire la reputazione del tuo marchio può richiedere anni per essere ricostruito ( o addirittura essersi danneggiato in maniera irreparabile ). Sono infatti molte le aziende che hanno subito gravi violazioni dei dati e si sono macchiate per sempre la loro reputazione.
Perdita dei privilegi della carta di pagamento
Se ti trovi in una violazione PCI, alla tua azienda può essere proibito di accettare carte di credito, come Visa o MasterCard, il che causerebbe un enorme impatto negativo su qualsiasi sito di e-commerce. Non essere in grado di accettare la carta di credito può portare il venditore fuori dal mercato molto rapidamente.
Perdita di tempo
A volte la quantità di tempo che si perde allocando le risorse per affrontare una violazione dei dati può essere peggio della perdita finanziaria stessa. Pensa alla quantità di tempo che non saresti in grado di spendere facendo il tuo lavoro se hai bisogno di concentrarti sul ripristino di una violazione della sicurezza.
Anche se è molto difficile quantificare il tuo tempo, dovresti tener conto dei seguenti punti:
- Reazione a una violazione dei dati,
- Identificazione del problema e della falla,
- Affrontare questioni legali,
- Aumentare le precauzioni per impedire il riverificarsi dei problemi
Conclusione
Non è un compito facile quantificare tutti gli impatti di una violazione dei dati in un sito di e-commerce. L'obiettivo principale di questo post è di farti iniziare a pensare all'importanza di avere un sito web sicuro.
Se stai cercando una soluzione di sicurezza per il tuo sito di e-commerce, ti offriamo una piattaforma di sicurezza per siti Web completa con rilevamento, protezione e risposta.