Una panoramica completa sull’industria delle carte di pagamento (PCI)

Introduzione alla Payment Card Industry (PCI)

La Payment Card Industry (PCI) è un'organizzazione che stabilisce gli standard per la sicurezza delle carte di pagamento e la protezione dei dati. È stata fondata nel 2006 da cinque dei maggiori marchi di carte di pagamento al mondo: Visa, Mastercard, American Express, Discover e JCB. Il PCI Security Standards Council (PCI SSC) è responsabile della gestione degli standard di conformità PCI.

Gli standard di sicurezza PCI

Gli standard di sicurezza PCI sono una serie di requisiti di sicurezza dei dati sviluppati dal PCI SSC per aiutare le organizzazioni a proteggere i dati dei titolari di carta. Questi standard si applicano a tutte le organizzazioni che gestiscono, elaborano o memorizzano informazioni sulle carte di pagamento. Gli standard definiscono le azioni che le aziende devono intraprendere per mantenere al sicuro i dati dei clienti, come ad esempio la presenza di un firewall, la crittografia e il controllo dell'accesso ai dati.

Conformità PCI

La conformità PCI è il processo di conformità agli standard di sicurezza stabiliti dal PCI SSC. Le organizzazioni devono aderire a questi standard per poter accettare carte di pagamento. Le aziende che sono conformi agli standard PCI possono esporre il logo PCI sul proprio sito web e accettare pagamenti senza problemi.

PCI Data Security Standard (PCI DSS)

Il PCI Data Security Standard (PCI DSS) è un insieme di requisiti per le organizzazioni che gestiscono i dati dei titolari di carta. Stabilisce i requisiti tecnici e operativi per archiviare, elaborare e trasmettere in modo sicuro i dati dei titolari di carta. Il PCI DSS è il più importante degli standard PCI ed è quello che la maggior parte delle organizzazioni deve rispettare.

PCI Point-to-Point Encryption (PCI P2PE)

PCI Point-to-Point Encryption (PCI P2PE) è uno standard di sicurezza progettato per proteggere i dati dei titolari di carta dal punto di acquisizione al punto di elaborazione. Richiede alle organizzazioni di crittografare i dati dei titolari di carta non appena vengono acquisiti e di decifrarli solo al momento dell'elaborazione.

PCI Pin Transaction Security (PCI PTS)

PCI Pin Transaction Security (PCI PTS) è uno standard di sicurezza progettato per proteggere le transazioni con carte basate su PIN. Richiede alle organizzazioni di implementare misure di sicurezza specifiche quando accettano pagamenti basati su PIN.

Vantaggi della conformità PCI

L'adesione agli standard PCI può aiutare le organizzazioni a proteggere i dati dei clienti e a ridurre il rischio di violazioni dei dati. Può anche aiutare le organizzazioni a ridurre i costi, evitando multe e altre sanzioni associate alla non conformità.

Conclusione

La Payment Card Industry (PCI) è un'organizzazione che stabilisce gli standard per la sicurezza delle carte di pagamento e la protezione dei dati. L'adesione agli standard PCI può aiutare le organizzazioni a proteggere i dati dei clienti e a ridurre il rischio di violazione dei dati. Le organizzazioni devono rispettare gli standard PCI per poter accettare carte di pagamento.

FAQ
Cosa comprende il settore delle carte di pagamento?

Il settore delle carte di pagamento comprende carte di credito, carte di debito e carte prepagate. Include anche le società che emettono queste carte, come le banche e le società di carte di credito. Il settore delle carte di pagamento è regolamentato dal Payment Card Industry Security Standards Council (PCI SSC).

Qual è l'attuale standard PCI?

Il Payment Card Industry Data Security Standard (PCI DSS) è un insieme di standard di sicurezza progettati per proteggere i dati dei titolari di carta. Il PCI DSS è imposto dai principali marchi di carte di credito (Visa, Mastercard, American Express, Discover, ecc.) e si applica a qualsiasi organizzazione che elabora, memorizza o trasmette dati di carte di credito. PCI DSS è uno standard di sicurezza multiforme che include requisiti per la gestione della sicurezza, politiche, procedure, architettura di rete, progettazione del software e altre misure di protezione critiche.

Devo essere conforme agli standard PCI se utilizzo un gateway di pagamento?

Se intendete utilizzare un gateway di pagamento per elaborare le transazioni con carta di credito, dovrete essere conformi allo standard PCI. La conformità PCI è un insieme di standard di sicurezza richiesti dalle società di carte di credito per proteggere i dati dei clienti. Se non siete conformi allo standard PCI, non potrete utilizzare un gateway di pagamento.

PayPal è un PCI?

No, PayPal non è un PCI. Il Payment Card Industry (PCI) è un insieme di standard che le aziende devono seguire per accettare pagamenti con carta di credito. PayPal è un processore di pagamenti, non una società di carte di credito, quindi non è soggetto alla conformità PCI.

Quali sono gli esempi di PCI?

La conformità PCI (Payment Card Industry) è un insieme di standard di sicurezza progettati per proteggere le aziende e i consumatori dalle violazioni dei dati e dalle frodi. La conformità PCI si applica a qualsiasi azienda che accetta, elabora o memorizza pagamenti con carta di credito o di debito.

Esistono quattro livelli principali di conformità PCI: Il livello 1 è il livello di sicurezza più elevato e si applica alle aziende che elaborano più di 6 milioni di transazioni all'anno. Il livello 2 si applica alle aziende che elaborano da 1 a 6 milioni di transazioni all'anno. Il livello 3 si applica alle aziende che elaborano 20.000-1 milione di transazioni all'anno. Il livello 4 si applica alle aziende che elaborano meno di 20.000 transazioni all'anno.

Per ottenere la conformità PCI, le aziende devono seguire una serie di standard di sicurezza, suddivisi in sei categorie:

1. Costruire e mantenere una rete sicura

Questa categoria comprende i requisiti per la costruzione e la manutenzione di una rete sicura, come l'uso di firewall per proteggere i dati, l'uso di una forte crittografia per la trasmissione dei dati dei titolari di carta e l'uso di password sicure.

2. Proteggere i dati dei titolari di carta

Questa categoria comprende i requisiti per la protezione dei dati dei titolari di carta, come l'archiviazione dei dati in un luogo sicuro e la crittografia dei dati quando vengono trasmessi.

3. Mantenere un programma di gestione delle vulnerabilità

Questa categoria comprende i requisiti per il mantenimento di un programma di gestione delle vulnerabilità, come la scansione regolare delle vulnerabilità e il patching dei sistemi.

4. Implementare misure di controllo degli accessi forti

Questa categoria comprende i requisiti per l'implementazione di misure di controllo degli accessi forti, come limitare l'accesso ai dati solo a chi ne ha bisogno e utilizzare l'autenticazione a due fattori per l'accesso ai dati.

5. Monitorare e testare regolarmente le reti

Questa categoria comprende i requisiti per monitorare e testare regolarmente le reti, ad esempio utilizzando sistemi di rilevamento e prevenzione delle intrusioni e conducendo test di penetrazione.

6. Mantenere una politica di sicurezza delle informazioni

Questa categoria comprende i requisiti per il mantenimento di una politica di sicurezza delle informazioni, ad esempio l'adozione di una politica che copra tutti gli aspetti della sicurezza e la garanzia che tutti i dipendenti siano a conoscenza della politica e la rispettino.