Una delle chiavi del successo di un brand o di un’attività consiste nel dare priorità a livello di tempo e attenzione all’aspetto della sicurezza e della protezione delle informazioni sensibili dei propri clienti. Questo discorso si rivela particolarmente rilevante se si possiede un sito e-commerce e si accettano pagamenti online. La conformità PCI risolve i problemi di sicurezza relativi ai pagamenti online, imponendo determinati standard che le aziende devono seguire se intendono accettare pagamenti con carte di credito e di debito.
La conformità al settore delle carte di pagamento (PCI) implica il rispetto di una serie di standard di sicurezza per le aziende che accettano, elaborano, archiviano o trasmettono informazioni sulle carte di credito. Attraverso la conformità PCI, aziende di ogni dimensione possono prevenire frodi e limitare violazioni dei dati, proteggendo al contempo i dati sensibili di pagamento dei propri clienti. Lo standard PCI DSS (Payment Card Industry Data Security Standard) è progettato per proteggere i numeri di debito e credito. Il PCI Security Standards Council, una joint venture tra i cinque principali marchi di carte di pagamento – American Express, Discover, JCB, MasterCard e Visa – amministra PCI DSS.
Lo standard PCI DSS viene fornito con 12 requisiti specifici, organizzati attentamente in sei obiettivi. Andiamo a vedere più da vicino cosa trattano.
Requisiti per lo standard PCI DSS – parte 1
La prima parte dei requisiti si occupa dei temi di costruzione di una rete sicura e di protezione dati dei titolari di carta. Andiamo a vedere i requisiti PCI richiesti.
Requisito 1 – Installare e mantenere una configurazione firewall per proteggere i dati dei titolari di carta. L’azienda deve utilizzare una configurazione firewall per proteggere i dati dei titolari di carta e creare una rete sicura. Un firewall controlla il traffico di rete e blocca tutte le trasmissioni che non soddisfano i tuoi particolari criteri di sicurezza.
Requisito 2 – Non utilizzare i valori predefiniti forniti dal fornitore per le password di sistema e altri parametri di sicurezza. La tua azienda non può utilizzare la password creata dal fornitore del software al momento dell’acquisto del software. Invece, crea le tue password di sistema uniche e sicure.
Requisito 3 – Proteggere i dati di titolari di carta memorizzati. Se si archiviano dati di titolari di una carta, si è soggetti a una potenziale violazione della sicurezza dei dati. È opportuno collaborare con un provider di hosting conforme allo standard PCI DSS per fornire diversi livelli di protezione dei dati tramite metodi virtuali e fisici. I metodi virtuali possono includere password e autenticazione, mentre i metodi fisici coprono l’accesso limitato e le serrature degli armadietti.
Requisito 4 – Crittografare la trasmissione dei dati dei titolari di carta su reti pubbliche aperte. La crittografia deve essere applicata prima che i dati vengano trasmessi dal punto A al punto B. L’azienda deve implementare protocolli di crittografia avanzati e le reti devono essere configurate correttamente in modo che gli utenti non abbiano la possibilità di accedere ai dati dei titolari di carta.
Requisiti per PCI DSS – parte 2
La seconda parte dei requisiti PCI si occupa dell’implementazione di misure di controllo per gli accessi e la gestione della vulnerabilità. Scopriamo nello specifico di cosa si occupano.
Requisito 5 – Utilizzare e aggiornare regolarmente il software antivirus. Il software antivirus è essenziale per proteggere l’azienda dai malware più recenti.
Requisito 6 – Sviluppare e mantenere sistemi e applicazioni protetti. Finché si opta per un provider di hosting conforme allo standard PCI DSS, è possibile contare su di loro per monitorare e aggiornare i propri sistemi per affrontare eventuali vulnerabilità.
Requisito 7 – Non concedere a tutti i dipendenti aziendali l’accesso ai dati dei titolari di carta. È opportuno limitare il numero di persone che hanno accesso: questo riduce significativamente il rischio di una violazione della sicurezza.
Requisito 8 – Assegnare un ID univoco a ogni persona con accesso al computer. Un ID digitale univoco consente di tenere traccia di tutti coloro che accedono alla rete aziendale. Oltretutto, gli utenti dovrebbero cambiare la password ogni 30 giorni, disconnettersi automaticamente dopo un certo periodo di inattività e di seguire altre pratiche di sicurezza.
Requisito 9 – Limitare l’accesso fisico ai dati dei titolari di carta. I server contenenti i dati dei titolari di carta devono essere archiviati in un ambiente sicuro, interno o esterno, accessibile solo da un numero limitato di persone autorizzate.
Requisiti per PCI DSS – parte 3
La terza e ultima parte dei requisiti PCI richiesti tratta il monitoraggio regolare delle reti e la presenza di una politica di sicurezza delle informazioni. Vediamo che cosa occorre per soddisfare lo standard PCI DSS.
Requisito 10 – Tracciare e monitorare tutti gli accessi alle risorse di rete e ai dati dei titolari di carta. Il monitoraggio dell’attività dell’utente facilita l’identificazione della causa di una violazione della sicurezza o di qualsiasi altro problema che possa sorgere.
Requisito 11 – Testare regolarmente sistemi e processi di sicurezza. Testando sistemi, processi e software su base regolare, si è in grado di scoprire le vulnerabilità non appena emergono per aiutare il vostro provider di hosting di dati a proteggere i dati dei vostri clienti.
Requisito 12 – Mantenere una policy che si occupi della sicurezza delle informazioni. Con una policy di sicurezza conforme allo standard PCI DSS, i dipendenti sapranno esattamente cosa ci si aspetta da loro. La politica di sicurezza dovrebbe delineare chiaramente usi tecnologici accettabili, processi di routine per l’analisi dei rischi e procedure di sicurezza operativa.
All’inizio, conformarsi allo standard PCI DSS può sembrare uno sforzo travolgente. La buona notizia è che non deve essere così. Se sei un commerciante, Magento Commerce può aiutarti a rispettare lo standard PCI DSS. Magento offre gateway di pagamento integrati che semplificano la trasmissione dei dati della carta di credito tramite metodi API di posta diretta o moduli di pagamento ospitati dalla fuga di pagamento e integrati con la pagina di pagamento. Poiché Magento Commerce è certificato come fornitore di soluzioni di livello 1, puoi utilizzare l’attestazione di conformità PCI Magento per supportare il tuo processo di certificazione PCI.
