PCI DSS appare come un argomento intimidatorio e confuso. Per aiutarti a navigare facilmente nell'argomento, abbiamo creato una guida che ti aiuta a capire di cosa si tratta e in che modo PCI DSS si applica alla tua attività. Modifica Modifica data e ora
A meno che tu non abbia una di quelle società che accetta solo contanti e bitcoin Dovrai capire come essere conforme alle normative relative all'accettazione delle carte di credito come forma di pagamento. Questa guida è per le aziende che si occupano di elaborazione delle carte di credito e si rendono conto di quanto sia vitale la sicurezza dei dati per un'esperienza di acquisto sicura nei tempi in cui viviamo.
Le persone di solito perdono la testa quando i dati della loro carta di credito vengono rubati, inoltre, le aziende che accettano/elaborano le carte di credito sono obbligate per legge a garantire che tutti i file che toccano siano sicuri.
PCI DSS (Payment Card Industry Data Security Standard) è l'insieme di standard che aiutano i proprietari di piccole e medie imprese a stare al passo con gli standard di sicurezza.
Nel settembre 2006 cinque importanti società di carte di credito (MasterCard, Visa International, JCB, American Express e Discover) si sono unite per formare il PCI SSC (Consiglio per gli standard di sicurezza dell'industria delle carte di pagamento).
Il consiglio è un organismo indipendente incaricato di supervisionare il perfezionamento del PCI DSS mantenendo elevati livelli di sicurezza in ogni segmento di un processo di transazione.
Le aziende che accettano transazioni con carta di credito sono responsabili nei confronti delle istituzioni finanziarie e della società della carta di credito che gestisce i fondi e non del comune.
Tuttavia, il consiglio garantisce che ci sia responsabilità nei sistemi e valuta le tendenze tecnologiche e le debolezze per mantenere alti livelli di sicurezza.
Qualsiasi azienda, istituzione ed entità che accetta, trasmette e archivia le informazioni dei titolari di carta è tenuta a rispettare le norme e i regolamenti PCI DSS. PCI definisce le informazioni del titolare della carta come PAN (Primary Account Number). PAN contiene le seguenti informazioni:
PCI DSS chiede alle aziende di proteggere i seguenti dati:
Un sistema applicabile indipendentemente dalle dimensioni o dal numero di transazioni. Il modo in cui ogni azienda gestisce i dati dei titolari di carta è classificato in uno dei quattro livelli creati da Visa.
Il livello è determinato dal numero di transazioni Visa effettuate dal DBA dell'esercente (che è "Doing Business As") in un periodo di dodici mesi. Nei casi in cui le entità aziendali hanno più DBA commercianti, vengono valutate le transazioni totali dell'azienda.
Nelle entità in cui le aziende non interagiscono con i dati per conto dei propri esercenti, i singoli amministratori di database vengono valutati per determinarne i livelli.
Definizione PCI DSS di rivenditore come qualsiasi entità che accetta pagamenti da carte che riportano i loghi delle cinque principali società di carte di credito menzionate all'inizio di questo articolo.
Un trader può anche essere un fornitore di servizi. I livelli sono determinati come segue:
Livello 1: I commercianti elaborano oltre sei milioni di transazioni Visa all'anno tramite posta, di persona, e-Commerce o telefono).
Livello 2: I trader elaborano da uno a sei milioni di transazioni Visa all'anno attraverso tutti i canali di accettazione.
Livello 3: I trader elaborano da 20.000 a 1 milione di transazioni di e-commerce Visa all'anno.
Livello 4: I commercianti elaborano 20.000 e meno vendite di e-commerce Visa all'anno tramite tutti i canali di accettazione.
Per soddisfare le regole e gli standard stabiliti, i commercianti vengono guidati attraverso una serie di passaggi. In primo luogo, ogni trader è tenuto a compilare un SAQ (Self Assessment Questionnaire) come mezzo per determinare come apparirà la propria conformità.
Dopo aver compilato il questionario, ci sono commercianti incaricati di completare e raccogliere le prove di un passaggio insieme a una scansione di vulnerabilità da un ASV (PCI SSC Approved Scanning Vendor). Le aziende che utilizzano un unico metodo di accettazione devono conformarsi pienamente agli standard PCI DSS, così come i commercianti che utilizzano processori di terze parti.
Per le aziende con più sedi, sono tenute a convalidare una volta all'anno per tutte le aree se utilizzano lo stesso codice fiscale. Per quanto a tutte le aziende che si occupano di dati di carte di debito o di credito venga chiesto di rispettare gli standard PCI, le aziende che non archiviano i dati hanno un tempo più facile nella gestione del processo di conformità.
Ci sono singole aziende che devono eseguire scansioni trimestrali delle vulnerabilità. Un ASV (Approved Scanning Vendor) approvato ha il compito di eseguire una scansione di varie applicazioni Web e reti di indirizzi IP forniti dal fornitore di servizi o dal commerciante.
La scansione individua ed espone eventuali vulnerabilità nei servizi, nei sistemi operativi e nei dispositivi dell'azienda che gli hacker possono utilizzare per ottenere l'accesso alla rete privata del trader.
Quando un ASV esegue la scansione, nessun software richiede l'installazione e le scansioni vengono eseguite ogni 90 giorni poiché agli esercenti viene chiesto di inviare rapporti di conformità entro il calendario stabilito dall'acquirente.
Alcuni trader prendono in considerazione la possibilità di lavorare con i fornitori di servizi. Un'entità separata dalle cinque principali società di carte di credito coinvolte nell'archiviazione, nell'elaborazione e nella trasmissione delle informazioni sui titolari di carta.
Ai fornitori di servizi viene fornito un percorso di conformità "unico" ed è fondamentale che lo seguano attentamente. Le aziende che si qualificano per essere fornitori di servizi devono seguire un corso che le aiuti a comprendere chiaramente il loro mandato.
Le applicazioni di pagamento sono considerate aspetti che trasmettono, memorizzano o elaborano le informazioni del titolare della carta. Le applicazioni di pagamento sono processi che vanno dai sistemi di scorrimento nei ristoranti ai software utilizzati nei carrelli della spesa per l'e-commerce.
PA-DSS (Payment Application Data Security Standard) è gestito e mantenuto dal PCI SSC. PA-DSS esiste come mezzo per garantire che tutti i fornitori che forniscono applicazioni di pagamento conformi agli standard PCI DSS non conservino i dati dei titolari di carta.
Un gateway di pagamento mette in contatto gli esercenti con un processore o una banca acquirente che li collega all'emittente della carta. Accedono al processore o all'istituto finanziario tramite connessione basata sul Web o dial-up.
Nella maggior parte dei casi, i commercianti preferiscono avere la possibilità di conservare le informazioni del titolare della carta, rendendo più facile per i clienti effettuare transazioni ripetute. La collaborazione con un fornitore di terze parti è il modo più rilassato e semplice per archiviare le informazioni in modo sicuro.
Le informazioni del titolare della carta vengono rimosse dal possesso del commerciante e una terza parte specializzata nella protezione dei dati gestisce i dati per conto del commerciante.
I rivenditori che scelgono di conservare i dati dei titolari di carta vengono sottoposti a un rigoroso processo da un valutatore di sicurezza qualificato che si reca sul sito per effettuare un audit che conferma che il commerciante soddisfa gli standard PCI DSS.
Gli standard PCI consigliano che le prime sei o le ultime quattro cifre del PAN debbano essere stampate su una copia della ricevuta della transazione. Aiuta a salvaguardare l'intero numero dalla visualizzazione.
Sono stati stabiliti standard per la sicurezza dei consumatori. Quando i trader non rispettano gli standard PCI DSS, provocano molte conseguenze.
La maggior parte delle volte, vengono schiaffeggiati con multe salate che vanno da $ 5000 a $ 100.000 al mese.
Il marchio di pagamento anticipa l'addebito alla banca acquirente che trasferisce i costi all'azienda. Nella maggior parte dei casi, l'istituto finanziario interrompe il rapporto con l'esercente o aumenta notevolmente le commissioni di transazione.
Si tratta di sanzioni che possono rovinare le piccole-medie imprese ed è importante che i commercianti seguano tutte le regole senza piegarle.
Per quanto il PCI non sia legge, i commercianti che si rifiutano di conformarsi sono soggetti e responsabili dell'assorbimento dei costi derivanti da multe, costi di sostituzione della carta, danni al marchio, costosi controlli forensi e varie conseguenze in caso di violazione.
Sforzi iniziali e costi realizzati dopo conforme allo standard PCI DSS Evita ai commercianti di dover spendere più soldi e di dover affrontare conseguenze gravi, costose, complicate e devastanti.
Congratulazioni per l'avvio di una piccola-media impresa, assicurati che tutte le transazioni siano conformi alle misure di integrità e sicurezza. Naviga tra i dettagli della conformità e salva la tua azienda dagli hacker che diventano sempre più sofisticati di giorno in giorno.
"*" indica i campi obbligatori
"*" indica i campi obbligatori
"*" indica i campi obbligatori
Lascia una risposta
Devi essere effettuato l'accesso per pubblicare un commento.