3 Maggio 2021 22:14

Conformità PCI

Cos’è la conformità PCI?

La conformità al settore delle carte di pagamento (PCI) è richiesta dalle società di PCI Security Standards Council.

Punti chiave

  • Le aziende che seguono e raggiungono gli standard PCI DSS (Payment Card Industry Data Security Standards) sono considerate conformi allo standard PCI.
  • Il PCI Security Standards Council è responsabile dello sviluppo del PCI DSS.
  • PCI DSS ha 12 requisiti chiave, 78 requisiti di base e 400 procedure di test per garantire che le organizzazioni siano conformi allo standard PCI.
  • La conformità PCI riduce le violazioni dei dati, protegge i dati dei titolari di carta, evita multe e migliora la reputazione del marchio.
  • La conformità PCI non è richiesta dalla legge, ma è considerata obbligatoria in base a un precedente giudiziario.

Comprensione della conformità PCI

La precedente del tribunale.

In generale, la conformità PCI è un componente fondamentale del protocollo di sicurezza di qualsiasi società di carte di credito. È generalmente richiesto dalle società di carte di credito e discusso nei contratti di rete delle carte di credito.

Il PCI Standards Council è responsabile dello sviluppo degli standard per la conformità PCI. Questi standard si applicano all’elaborazione mercantile e sono stati estesi anche per delineare i requisiti per entità chiave che sono anche associate alla definizione degli standard nel settore delle carte di credito includono The Card Association Network e National Automated Clearing House (NACHA).

Requisiti per la conformità PCI

Gli standard di conformità PCI richiedono ai commercianti e ad altre aziende di gestire le informazioni della carta di credito in modo sicuro che aiuta a ridurre la probabilità che i titolari della carta vengano sottratti a dati finanziari sensibili. Se i commercianti non gestiscono le informazioni della carta di credito secondo gli standard PCI, le informazioni della carta potrebbero essere violate e utilizzate per una moltitudine di azioni fraudolente. Inoltre, le informazioni sensibili sul titolare della carta potrebbero essere utilizzate nella  frode di identità.

Essere conformi allo standard PCI significa aderire costantemente a una serie di linee guida stabilite dal PCI Standards Council. La conformità PCI è disciplinata dal PCI Standards Council, un’organizzazione costituita nel 2006 allo scopo di gestire la sicurezza delle carte di credito.

I requisiti sviluppati dal Consiglio sono noti come PCI DSS (Payment Card Industry Data Security Standards). PCI DSS ha 12 requisiti chiave, 78 requisiti di base e oltre 400 procedure di test. Le linee guida sono anche considerate best practice per la sicurezza. I suoi 12 requisiti principali includono quanto segue:

  1. Implementa firewall per proteggere i dati
  2. Protezione con password adeguata
  3. Proteggi i dati dei titolari di carta
  4. Crittografia dei dati dei titolari di carta trasmessi
  5. Utilizza un software antivirus
  6. Aggiorna il software e mantieni i sistemi di sicurezza
  7. Limita l’accesso ai dati dei titolari di carta
  8. ID univoci assegnati a coloro che hanno accesso ai dati
  9. Limita l’accesso fisico ai dati
  10. Crea e monitora i log di accesso
  11. Testare regolarmente i sistemi di sicurezza
  12. Creare una politica che sia documentata e che possa essere seguita

La versione più recente di PCI DSS è stata rilasciata a maggio 2018 ed è indicata come versione 3.2.1. Complessivamente, i sei obiettivi e i 12 requisiti delineano una serie di passaggi che i processori di carte di credito devono continuamente seguire. Alle aziende viene innanzitutto chiesto di valutare le proprie reti e sistemi, che coinvolgono l’infrastruttura informatica, i processi aziendali e le procedure di gestione delle carte di credito.

Vantaggi della conformità PCI

Anche il mantenimento e la valutazione costanti di eventuali lacune nella sicurezza sono molto importanti per evitare il furto di informazioni sensibili sui titolari di carta, come  la previdenza sociale  e il numero di patente di guida, quando possibile.

Le aziende sono tenute a fornire rapporti di conformità su base regolare come parte dei loro accordi di elaborazione delle carte. Il monitoraggio, le valutazioni e le verifiche degli standard di sicurezza dei dati del settore delle carte di pagamento sono tutti una parte importante del dipartimento di sicurezza di un’azienda.

Tutte le società che elaborano le informazioni della carta di credito sono tenute a mantenere la conformità PCI come indicato dai loro contratti di elaborazione delle carte. La conformità PCI è lo standard del settore e l’attività senza di essa può comportare multe sostanziali per violazioni dell’accordo e negligenza. Senza la conformità PCI, le aziende sono anche altamente vulnerabili a furti, frodi e violazioni dei dati.

95%

La percentuale diviolazionidella sicurezza informatica causate da errori umani.

I vantaggi della conformità includono la riduzione del rischio di violazioni dei dati, la salvaguardia dei dati dei titolari di carta, evitando così possibilità di furto di identità. È buona norma che le aziende siano conformi in quanto riduce le multe relative alle violazioni dei dati, aiuta la reputazione del marchio di un’azienda, mantiene i clienti felici e fiduciosi di fare affari con un’azienda responsabile, portando alla fedeltà al marchio.

Nella prima metà del 2020, c’erano 36 miliardi di record esposti a causa di violazioni dei dati. L’ottantasei percento delle violazioni era motivato finanziariamente e con il mercato globale della sicurezza delle informazioni che dovrebbe raggiungere i 170 miliardi di dollari nel 2020, il rischio finanziario è ancora più alto. La protezione dei dati dei titolari di carta non è solo un bene per le aziende, ma è anche la cosa giusta da fare, garantendo che le persone non subiscano danni negativi o subiscano perdite finanziarie.

Conformità PCI e violazioni dei dati

La conformità PCI aiuta a evitare attività fraudolente e mitiga le violazioni dei dati. Verizon fornisce una valutazione annuale della sicurezza dei pagamenti nel suo “Verizon Payment Security Report”. Il Rapporto 2019 dedica un’intera sezione a PCI DSS, chiamata “Lo stato della conformità PCI DSS, 2019: e 12 requisiti chiave”. Alcuni punti salienti PCI DSS del “Rapporto sulla sicurezza dei pagamenti Verizon 2019” includono quanto segue:

  • Il 36,7% delle organizzazioni ha mantenuto attivamente i programmi PCI DSS nel 2018.
  • La regione Asia-Pacifico ha sovraperformato le Americhe, l’Europa, il Medio Oriente e l’Africa.
  • Dal punto di vista del settore, l’ospitalità è leggermente indietro rispetto ad altri settori.

Domande frequenti sulla conformità PCI

Cosa significa conforme allo standard PCI?

Conformità PCI significa che qualsiasi azienda o organizzazione che accetta, trasmette o memorizza i dati privati ​​dei titolari di carta è conforme alle varie misure di sicurezza delineate dal PCI Security Standard Council per garantire che i dati siano protetti e privati.

La conformità PCI è richiesta dalla legge?

Non esiste un mandato normativo che richieda la conformità PCI, ma è considerato obbligatorio in base a un precedente del tribunale.

Come ottengo la conformità PCI?

Per diventare conforme allo standard PCI, devi prima determinare quale questionario di autovalutazione devi seguire per diventare conforme. Una volta completato il questionario, è necessario completare e conservare la prova di una scansione di vulnerabilità passata con un fornitore di scansione approvato PCI SSC. La scansione si applica solo ad alcuni commercianti. Sarà quindi necessario completare l’attestato di conformità. L’ultimo passaggio sarà inviare tutte le informazioni di cui sopra.

Chi deve essere conforme allo standard PCI?

Qualsiasi azienda o organizzazione che accetta, trasmette o memorizza i dati privati ​​dei titolari di carta.

La linea di fondo

La conformità PCI si riferisce agli standard tecnici e operativi stabiliti dal PCI Security Standards Council che le organizzazioni devono implementare e mantenere. L’obiettivo della conformità PCI è proteggere i dati dei titolari di carta e si applica a qualsiasi organizzazione che accetta, trasmette o archivia tali dati. Essere conformi allo standard PCI è una buona pratica aziendale in quanto mette al primo posto la sicurezza dei dati dei consumatori e inoltre avvantaggia un’organizzazione grazie a una reputazione positiva del marchio.