Standard
PCI DSS (PCI Data Security Standard) è lo standard che definisce le misure di protezione. dei processi di gestione dei pagamenti effettuati attraverso carta di credito. Questo standard è promosso e mantenuto da PCI SSC (Payment Card Industry Security Standards Council), un’organizzazione nata nel 2006 con la finalità di migliorare la sicurezza dei sistemi di pagamento per volontà dei cinque grandi player delle carte di pagamento: American Express, Discover, JCB, MasterCard e Visa.
Lo standard richiede l’adozione di una serie di requisiti di sicurezza che riguardano 12 ambiti di intervento, sia tecnici sia di processo, e prevede che siano effettuate una serie di verifiche periodiche.
| Sviluppo e gestione di una rete sicura | 1. Installare e gestire una configurazione firewall per proteggere i dati di titolari di carta 2. Non utilizzare valori predefiniti del fornitore per le password di sistema e altri parametri di protezione |
| Protezione dei dati di titolari di carta | 3. Proteggere i dati di titolari di carta memorizzati 4. Cifrare i dati di titolari di carta trasmessi su reti aperte e pubbliche |
| Utilizzo di un programma per la gestione delle vulnerabilità | 5. Utilizzare e aggiornare regolarmente il software o i programmi antivirus 6. Sviluppare e gestire sistemi e applicazioni protette |
| Implementazione di rigide misure di controllo dell'accesso | 7. Limitare l'accesso ai dati di titolari di carta solo se effettivamente necessario 8. Assegnare un ID univoco a chiunque abbia accesso a un computer 9. Limitare l'accesso fisico ai dati dei titolari di carta |
| Monitoraggio e test delle reti regolari | 10. Registrare e monitorare tutti gli accessi a risorse di rete e dati di titolari di carta 11. Eseguire regolarmente test di sistemi e processi di protezione |
| Gestione di una politica di sicurezza delle informazioni | 12. Gestire una politica che garantisca la sicurezza delle informazioni per tutto il personale |
Tale standard si applica a qualsiasi soggetto che riceve pagamenti mediante carte di pagamento o che più in generale trasmette o memorizza il relativo PAN (Primary Account Number, ovvero il numero di 16 cifre stampato sul fronte della carta), quali ad esempio:
- Tutti gli operatori commerciali che operino sul piano fisico o elettronico (“Merchants”);
- Banche;
- Terze parti coinvolte nelle transazioni dei dati delle carte di credito (“Service Provider”).
La mancata conformità a questo standard può essere sanzionata con possibili multe da parte delle aziende emittenti delle carte di credito e con l’estromissione dal circuito dei pagamenti, oltre a creare potenzilai problemi con clausole assicurative, rivalse legali, etc.