La conformità PCI è la stretta aderenza alle linee guida del Payment Card Industry Data Security Standard (PCI DSS), richiesto per tutte le aziende che accettano pagamenti con carta di credito. Il Payment Card Industry Security Standards Council è l'ente che ritiene le aziende responsabili di tale conformità. Il consiglio PCI offre diverse sessioni di formazione e corsi per le aziende, oltre a semplici quiz che possono sostenere per testare il loro livello di conformità.
PCI fornisce anche l'accesso ai valutatori (spesso organizzazioni di sicurezza di terze parti), che esaminano le aziende per la conformità PCI. Il PCI Security Standards Council si assicura inoltre che i valutatori qualificati della sicurezza siano regolarmente certificati e approvati in modo che essi stessi mantengano un elevato standard di conformità.
PCI fornisce anche standard per i dispositivi PTS (PIN Transaction Security), che sono l'hardware su cui avvengono le transazioni con carta. Sul sito Web degli standard di sicurezza PCI è presente un elenco di dispositivi PTS approvati da PCI, che dispongono anche di criteri di sicurezza. Questi dispositivi non devono essere scaduti se un'azienda li utilizzerà.
Dodici requisiti per la conformità PCI
Il Security Standards Council ha stabilito dodici standard che ogni azienda che accetta carte deve seguire:
- Implementazione di firewall nella rete aziendale
- Praticare le migliori abitudini per buone password, non solo le password minime o predefinite
- Crittografia delle informazioni della carta di credito e delle chiavi di crittografia
- Crittografia dei dati in movimento (mentre attraversano le reti pubbliche)
- Utilizzo di soluzioni antivirus aggiornate
- Protezione dell'intera rete, inclusi software / applicazioni
- Consentire ai dipendenti di accedere alle informazioni della carta solo se assolutamente necessario
- Fornire a ogni dipendente il proprio codice di accesso al computer / sistema, nome utente e / o password
- Limitazione dell'accesso all'hardware o ad altre apparecchiature in cui vengono conservati i dati della carta
- Monitoraggio dell'accesso al sistema, inclusa la registrazione di ogni volta che un dipendente accede alle informazioni della carta
- Testare frequentemente i protocolli di sicurezza
- Fornire una politica di sicurezza non solo ai dipendenti ma anche a terze parti e documentare l'archiviazione, la trasmissione e l'accesso dei dati delle carte. Un'altra nota importante su questi documenti e registri: altri standard legali, come il GDPR e il CCPA, richiederanno probabilmente che le organizzazioni documentino l'uso e la trasmissione di tutti i dati sensibili, quindi è doppiamente importante mantenere registri dettagliati.
Possibili conseguenze della non conformità PCI
Il mancato rispetto di questi requisiti rigorosi aumenta il rischio di una violazione dei dati. Aumenta anche la possibilità di perdere la reputazione e la fiducia dei clienti. La crittografia dei dati e la limitazione dell'accesso ad essi, d'altro canto, fornisce maggiore sicurezza a un'azienda. Sebbene il rigoroso rispetto degli standard PCI non significhi che un'azienda sia immune da attacchi e violazioni, significa che le sue multe e qualsiasi azione legale sarà probabilmente ridotta.
I crimini informatici, compreso il furto dei dati delle carte di credito, stanno diventando molto più facili da commettere per i criminali. La conformità agli standard PCI è la migliore pratica per un'azienda che desidera operare legalmente e mantenere una base di clienti soddisfatta.