Conformità PCI

Il Payment Card Industry (PCI) Security Standards Council (un'organizzazione formata da tutti i principali marchi di carte di credito) ha progettato il Payment Card Industry Data Security Standard nel 2006, proprio quando Internet iniziava a diventare uno strumento globale importante per le aziende. La conformità PCI è una certificazione fornita dal PCISS richiesta alle aziende che ospitano transazioni con carte di credito.

Con l'inizio della crescita di Internet nei primi anni 2000, le aziende hanno iniziato ad aggiungere sistemi di elaborazione dei pagamenti online. L'aumento delle attività online è andato di pari passo con il livello di comfort dei consumatori nell'utilizzare le carte di credito per effettuare acquisti online.

Lo Standard di Sicurezza dei Dati dell'Industria delle Carte di Pagamento (PCI DSS) definisce gli standard di sicurezza dei pagamenti che garantiscono che tutti i venditori accettino, memorizzino, elaborino e trasmettano in modo sicuro i dati dei titolari di carta durante una transazione con carta di credito. In risposta al crescente furto di dati, il PCI DSS è stato creato dalle cinque maggiori società di carte di credito (Visa, MasterCard, Discover, American Express e JCB).

Il PCI DSS è stato creato per aiutare a controllare e prevenire le violazioni dei dati dei consumatori e delle banche. Con la creazione di questo regolamento, così come il PCI Security Standards Council (un organismo indipendente formato per monitorare e validare la conformità aziendale), la conformità PCI è diventata un passaggio essenziale per regolamentare la sicurezza nell'industria dei pagamenti con carta di credito e proteggere i consumatori e le aziende dagli attacchi informatici.

Il Consiglio stesso è responsabile della definizione degli standard e della creazione dei requisiti a cui i venditori devono aderire, ma un'importante politica emanata dal PCI SSC richiede la conformità PCI auto-regolata. Ha trasferito la responsabilità del mantenimento della conformità alle società di carte di credito, che devono far rispettare le regole ai venditori e alle organizzazioni.

Qualsiasi commerciante con un ID commerciante che accetta carte di pagamento deve seguire queste normative per proteggersi dalle violazioni dei dati. I requisiti vanno dall'istituzione di criteri di sicurezza dei dati per la tua attività e i tuoi dipendenti, alla rimozione dei dati delle carte dal tuo sistema di elaborazione e dai terminali di pagamento.

requisiti di conformità PCI

Costruire e mantenere una rete sicura. Le aziende devono creare la propria politica di configurazione del firewall e sviluppare una procedura di test di configurazione progettata per proteggere i dati dei titolari di carta.

Protezione dei dati dei titolari di carta. Un requisito esclusivo per le aziende che conservano le informazioni dei titolari di carta tra le transazioni. Le aziende che non memorizzano automaticamente i dati dei titolari di carta evitano possibili violazioni della sicurezza dei dati e riducono la difficoltà di mantenere la conformità.

Mantenere un programma di gestione delle vulnerabilità. Il software antivirus deve essere utilizzato e aggiornato frequentemente per proteggersi dalle nuove forme di malware. Se i tuoi dati sono ospitati su server esternalizzati, allora il requisito per un software antivirus adeguato è a carico del provider di server utilizzato.

Implementazione di misure di controllo accessi efficaci. Limitare il numero di personale è un passo necessario per ridurre le probabilità di una violazione della sicurezza. Questo può essere fatto assegnando un ID univoco a ciascuna persona con accesso al computer.

Mantenere una politica di sicurezza delle informazioni. Questa politica dovrebbe definire gli usi accettabili della tecnologia, le revisioni e i processi annuali per l'analisi dei rischi, le procedure operative di sicurezza e altre attività amministrative generali.

I requisiti PCI elencati si applicano a tutti i numeri di hardware e applicazioni web:

• Lettori di schede
• Sistemi di punto vendita
• Reti di negozi e router di accesso wireless
• Archiviazione e trasmissione dei dati delle carte di pagamento
• Dati delle carte di pagamento archiviati in documenti cartacei
• Applicazioni di pagamento online e carrelli della spesa

Diventare conformi PCI e mantenere la conformità PCI può essere un processo complesso. Spesso comporta l'implementazione di controlli di sicurezza, l'assunzione di costosi consulenti terzi per assistere nell'installazione di software e hardware costosi e la firma di contratti vincolanti in base ai quali si accettano i termini della banca per la conformità PCI annuale. Sono generalmente richieste anche autovalutazioni annuali.

Le tecnologie che rendono efficiente l'attività aziendale quotidiana rendono anche facile per gli hacker accedere a informazioni importanti. Ecco perché un'azienda che gestisce anche solo una piccola quantità di carte di credito è altrettanto obbligata a proteggere quei dati delle carte quanto qualsiasi altro grande rivenditore che gestisce milioni di transazioni.

Quindi, quando implementati correttamente, i requisiti del PCI DSS forniscono a tutte le aziende una forte difesa contro il crimine informatico e la responsabilità, e garantiscono un alto livello di soddisfazione e sicurezza dei clienti.