Che cos'è il PCI DSS?

PCI DSS sta per Payment Card Industry Data Security Standard. Si tratta di un insieme di requisiti per le organizzazioni che gestiscono informazioni sulle carte di credito al fine di mantenere tali informazioni al sicuro. Lo standard è stato lanciato nel settembre 2006 dal PCI Security Standards Council, un consorzio dei principali marchi di carte.

Tutti i commercianti e i fornitori di servizi che accettano carte di credito come metodo di pagamento sono vincolati dai termini del PCI DSS. Se un commerciante non si conforma al PCI DSS, può incorrere in sanzioni finanziarie significative, danni alla reputazione e potenziale perdita di attività.

Il PCI DSS deve essere seguito da ogni azienda che acquisisce, gestisce, archivia o trasmette dati dei titolari di carta. Questo include rivenditori, processori di pagamenti, banche e altre organizzazioni che possono avere un effetto sulla sicurezza dei dati dei titolari di carta, come sviluppatori di software e produttori di hardware.

Banche, cooperative di credito, società di hosting e altre organizzazioni che ricevono o gestiscono i dati dei titolari di carta per telefono sono tenute a conformarsi. Per continuare ad accettare pagamenti con carta di credito, qualsiasi dipendente di un'azienda che gestisce dati sensibili dei titolari di carta deve mantenere la conformità PCI.

Il volume di transazioni che un commerciante o un fornitore di servizi gestisce ogni anno determina il loro grado di conformità PCI DSS. Il Livello 1 è il più alto dei quattro livelli per i commercianti e prevede i requisiti di reporting più rigorosi, come un Report on Compliance (RoC) annuale da un revisore terzo.

Per i Livelli da 2 a 4, viene solitamente compilato un Questionario di Autovalutazione (SAQ). I commercianti di Livello 1 sono tenuti a completare un RoC annuale e a gestire più di 6 milioni di transazioni con carta all'anno.

L'Attestation of Compliance (AoC) PCI è un documento che dimostra che un'organizzazione è conforme ai requisiti PCI DSS. Viene emessa dopo che un'organizzazione ha completato un'autovalutazione o un audit esterno da parte di un Qualified Security Assessor (QSA) e ha dimostrato di soddisfare i requisiti dello standard.

L'AoC non è un ostacolo al commercio, ma fornisce ai potenziali clienti fiducia nelle pratiche di sicurezza dell'organizzazione. L'AoC non è un certificato di sicurezza o una garanzia di sicurezza, ma piuttosto una dichiarazione da parte dell'organizzazione della sua adesione al PCI DSS.

il Payment Card Industry Data Security Standard (PCI DSS) è un insieme di regole e procedure progettate per garantire la sicurezza delle informazioni personali dei titolari di carta. Lo standard è composto da 12 parti o requisiti, che sono divisi in sei gruppi secondo la politica di sicurezza generale. Questi gruppi sono i seguenti: 

1) Creare e mantenere reti sicure; 

2) Proteggere i dati dei titolari di carta; 

3) Utilizzare una crittografia forte; 

4) Controllare l'accesso ai dati del titolare della carta; 

5) Monitorare e testare le reti; 

6) Implementare una politica di sicurezza delle informazioni. 

La versione più recente dello standard, PCI DSS 4.0, è un aggiornamento e una ristrutturazione dei 12 requisiti principali, che guidano su come impiegare efficacemente i controlli di sicurezza. Questo standard è applicabile a qualsiasi commerciante o fornitore di servizi che elabora, archivia o trasferisce i dati dei titolari di carta. Le organizzazioni devono comprendere e applicare queste regole per proteggere le informazioni e migliorare la credibilità.

Sebbene non siano direttamente disciplinate dal PCI DSS a meno che non tocchino i dati dei titolari delle carte, le applicazioni di pagamento sono essenziali per la conformità al PCI DSS. Questo perché i commercianti che sono tenuti ad aderire al PCI DSS le impiegano. Le applicazioni di pagamento devono pertanto essere sviluppate e implementate in modo da ridurre le minacce alla sicurezza e promuovere ambienti di rete sicuri. 

Per aiutare i rivenditori a soddisfare le normative PCI DSS, ciò include funzionalità come la gestione delle vulnerabilità, crittografia, e archiviazione sicura dei dati. In definitiva, i commercianti possono ridurre notevolmente il loro carico di lavoro e salvaguardare i dati dei titolari di carta selezionando un'applicazione di pagamento che metta al primo posto la sicurezza e semplifichi la conformità PCI DSS.

PCI DSS crea uno standard per la gestione e la protezione dei dati dei titolari di carta. Ciò riduce la possibilità di violazioni dei dati e furto di carte di credito. 

È essenziale comprendere che la creazione di un sistema per la gestione dei dati aiuta a semplificare i processi e le operazioni. Le aziende SaaS ricevono un framework che devono seguire, per impostare i controlli e mantenere un ambiente sicuro. Inoltre, le aziende di software sono costrette a tenere costantemente d'occhio i loro sicurezza e conformità sistemi, garantire che tutto funzioni senza intoppi e garantire che siano conformi alle normative PCI DSS.

La mancata conformità al PCI DSS può comportare significative ripercussioni finanziarie e sulla reputazione, come pesanti sanzioni, maggiori costi di transazione, l'interruzione delle partnership commerciali con banche e società di carte di credito e possibili azioni legali. 

I marchi di carte possono applicare sanzioni pecuniarie per la non conformità che vanno da $ 5.000 a $ 100.000 al mese fino al raggiungimento della conformità; le aziende più grandi possono essere soggette a multe più elevate. Oltre alle multe pecuniarie, la non conformità può comportare problemi operativi, danni al marchio, un calo della fiducia dei clienti, controversie e spese di riparazione in caso di violazioni dei dati e possibili indagini normative. La non conformità può avere un costo complessivo sostanziale, che va oltre le sanzioni immediate per includere gli effetti a lungo termine delle violazioni dei dati e il danno alla propria reputazione.

Per molte aziende SaaS, raggiungere la conformità PCI DSS può essere un compito complicato. Identificare chiaramente l'estensione del proprio ambiente dati titolare di carta, implementare e configurare misure di sicurezza come firewall e crittografia e seguire rigide regole di accesso sono alcune delle sfide più frequenti. 

Definire e classificare accuratamente l'ambiente dati titolare di carta — che include tutte le reti, i sistemi e le app che gestiscono, archiviano o inviano dati di pagamento sensibili — è una delle prime sfide. A causa della mancanza di risorse o esperienza, le organizzazioni potrebbero trovare difficile soddisfare tutti gli standard necessari del PCI DSS. La non conformità con il PCI DSS può comportare ripercussioni significative, come pesanti multe, danni alla reputazione e possibili interruzioni dell'attività.