Guide e report

Cosa significa PCI e le misure da adottare

Helen Huyton, Merchant Data Security Analyst di Adyen ci spiega cosa fare per raggiungere la conformità in modo facile e veloce alla PCI!

Helen Huyton, Merchant Data Security Analyst  ·  Adyen
3 marzo, 2020
 ·  6 minuti
Carta di pagamento

Disclaimer:il presente articolo è solo a scopo orientativo e non va considerato come un'indicazione definitiva. Per maggiori chiarimenti, consulta sempre la tua acquiring bank o un perito sulla sicurezza dei dati qualificato secondo lo standard di sicurezza dei dati nel settore delle carte di pagamento (PCI DSS). Le indicazioni valgono soprattutto per le aziende che elaborano meno di 6 milioni di transazioni.

Con l'incremento della popolazione, aumentano anche le quantità di dati elaborati ogni giorno. Il 90% dei dati presenti nel mondo è stato generato solo negli ultimi anni: una prospettiva affascinante, destinata solo a crescere.

Secondo i PCI SSC,​il costo medio di una violazione dei dati è di 3,8 milioni di dollari​. In qualità di azienda in crescita, quindi, bisogna sapere come affrontare questo genere di situazioni per raggiungere il successo. Certo non è facile, perché l'attenzione tende a concentrarsi sulla crescita dell'attività invece che su queste violazioni.​

Tuttavia, la cattiva gestione di dati come quelli dellecarte di pagamentopuò avere implicazioni molto serie. Se la tua azienda non è affidabile, non avrà mai successo: su questo non c'è dubbio, ma basta poco per tenere i dati dei titolari di carte al sicuro ed essere sempre conformi alle normative.

In questo articolo vedremo ciò che abbiamo imparato negli anni su cosa può fare un'azienda in crescita come la tua per prendere la sicurezza dei dati molto sul serio ed esamineremo i passi da intraprendere per dare vita a un'attività sostenibile, destinata ad avere successo ora come in futuro.


Riepilogo

Che cos'è la PCI compliance?

  • Nome: standard di sicurezza dei dati nel settore delle carte di pagamento (PCI DSS)
  • Creato da: Payment Card Industry Security Standards Council (PCI SSC).
  • Obiettivo: prevenire i furti di dati dei titolari di carte.

Cosa bisogna fare?

Per essere conforme bisogna implementare i requisiti applicabili alla tua attività come previsto dal PCI DSS. Inoltre, dovrai compilareuno o due moduli​​. Di seguito mostreremo il modulo più comune, chiamato “Questionario di valutazione A” o “SAQ A”. Il SAQ A è inteso come uno strumento per aiutarti a capire quali requisiti implementare.​

Per aiutarti a capire, si fonda su tre pratiche di sicurezza che devi conoscere e che dovrai seguire:

  1. Non usare nome utente e password pre-impostati né le impostazioni di fabbrica.
  2. Usa password sicure e ID utente unici. Le password devono essere lunghe almeno 7 caratteri (numerici, alfabetici e speciali).
  3. Tieniti sempre aggiornato sulle patch software non appena vengono rilasciate.

Come possiamo aiutare te e la tua attività?

Nota: il questionario SAQ A va compilato individualmente, ma siamo qui per aiutarti con le giuste indicazioni per una compilazione corretta e per il rispetto della conformità. Non esitare a contattarci tramite ​l'apposito moduloe consultale FAQ sul PCI​.


Una breve introduzione al PCI DSS

Per proteggere i titolari di carte, contenere le frodi e ridurre al minimo le possibilità di una violazione dei dati derivante da attacchi malware, il comitato PCI SCC ha implementato determinati requisiti tecnici e operativi. Tali requisiti si applicano a tutte le aziende che raccolgono, elaborano, archiviano o trasmettono dati dei titolari di carte e vengono chiamati PCI DSS, sigla che sta per standard di sicurezza dei dati nel settore delle carte di pagamento.

Chiunque accetti pagamenti con carta di credito deve conformarsi al PCI DSS che, pur non essendo una norma legale, si applica in tutto il mondo.

Ogni anno, le aziende devono accertare la propria conformità al PCI DSS compilando uno dei documenti ufficiali per la convalida forniti dal comitato PCI SSC. Chi non fosse conforme ai requisiti, sarà soggetto a penali e costi piuttosto elevati.

La conformità allo standard PCI riduce al minimo le probabilità di violazione dei dati derivanti da attacchi malware, pur non eliminando completamente la possibilità che vengano compromessi. Tuttavia, le società emittenti di carte che adottano tutte le misure necessarie per essere conformi al PCI DSS possono diminuire o eliminare del tutto le relative sanzioni.

Immagine che mostra 7 passi per essere conforme agli standard PCI DSS

7 passaggi per essere conformi al PCI DSS

1. Mappa il flusso dei dati dei titolari di carte

Crea un diagramma di flusso accurato per mappare il movimento dei dati dei titolari di carte. Ricordati di includere tutte le applicazioni, i sistemi e le persone che hanno a che fare con i dati delle carte di credito, inclusi i fornitori di servizi. Se servisse, fatti assistere dal personale IT.

2. Esamina l'ambiente in cui ti muovi

​Identifica persone, processi e tecnologie che interagiscono o potrebbero influire sulla sicurezza dei dati dei titolari di carte. Per maggiori informazioni leggi ​qui.

3.Fai una valutazione

Valuta il tuo livello di PCI compliance secondo il SAQ A. La persona che si occupa di compilare il questionario dovrà avere conoscenze sufficienti per poter valutare l'ambiente.

4.Apporta tutte le modifiche necessarie

Potresti renderti conto che la tua azienda non soddisfa uno o più criteri. Se così fosse, prenditi il tempo necessario per apportare tutti i miglioramenti che servono alla tua attività.

5.Compila il questionario di autovalutazione SAQ A

Il questionario va compilato e firmato da un professionista qualificato per rilasciare autorizzazioni in materia di sicurezza, come un CSO o un CTO.

6.Invia i documenti ad Adyen

Una volta compilati i moduli, puoi provvedere a inviarceli.

7.Imposta un monitoraggio regolare

Assicurati di monitorare la conformità su base continuativa per tutto l'anno, poiché il PCI DSS non è un singolo evento, ma un processo in evoluzione continua.

Hackeraggio della pagina di pagamento

Se un utente malintenzionato ottiene l'accesso non autorizzato al tuo sito, può trovare il modo di ingannare l'acquirente. Per esempio, può creare contenuti alternativi per Drop-in o Components, oppure sovrapporre un IFrame su quello esistente. In questi casi il pagamento viene comunque completato, ma i dati del titolare della carta vengono mandati in copia all'hacker.

I rischi associati a questa integrazione possono essere notevolmente ridotti implementando i requisiti come indicato nel SAQ A.

Compilazione dei documenti

Inizialmente la procedura può sembrare complessa, ma i singoli passaggi non sono affatto complicati. Uno degli ultimi passaggi prevede un questionario di autovalutazione, che è bene compilare quanto prima perché non lo si può delegare ai propri provider di pagamento.

I documenti richiesti variano a seconda dell'integrazione. I clienti Adyen possono saperne di più andando sulla nostra pagina della documentazione​, in cui viene presentata una suddivisione dei moduli da compilare durante l'integrazione. Se la tua azienda elabora meno di 6 milioni di transazioni per regione di acquisizione l'anno, puoi compilare un questionario di autovalutazione SAQ.

Considerata la quantità di cose che hai da fare per far crescere la tua attività, può capitare che la sicurezza dei dati finisca in secondo piano. Ma mantenersi conformi è più facile di quanto tu possa pensare, con le nostre soluzioni di criptaggio e la nostra piattaforma sicura conforme allo standard PCI.

In questo modo non vedrai mai dati di titolari di carte non criptati e non vi avrai mai accesso, per mantenerti conforme al PCI DSS più facilmente, senza essere esposto all'ambiente dei dati dei titolari di carte.

Qual è il prossimo passo per lo standard PCI?

Stiamo aspettando di saperne di più sulla prossima versione del PCI DSS (versione 4). Come sempre, cercheremo di anticipare i cambiamenti e aggiornare gli standard di conformità in tutto il mondo e lavoreremo a stretto contatto con tutte le parti coinvolte per fornire a te e a tutti un settore per i pagamenti più sicuro.

Sull'autrice:Helen Huyton aiuta i commercianti in tutto ciò che riguarda il PCI DSS, grazie alla sua esperienza nei rischi associati all'integrazione, come ridurli e quale documentazione è richiesta per essere conformi allo standard PCI.​




Iscriviti alla nostra newsletter!

Compila il form e rimani aggiornato

Confermo di aver letto l'informativa sulla privacy di Adyen e acconsento all'utilizzo dei miei dati in conformità con essa.