Lo standard di sicurezza dei dati dell'industria delle carte di pagamento (PCI DSS) è un insieme di standard di sicurezza progettati per garantire la sicurezza delle informazioni delle carte di pagamento. È un requisito per qualsiasi organizzazione che elabora, archivia o trasmette informazioni sulle carte di pagamento. Questo articolo spiega le basi del PCI DSS e fornisce una panoramica dei suoi requisiti.
PCI DSS è un insieme di standard di sicurezza sviluppati dal Payment Card Industry Security Standards Council (PCI SSC). Lo standard è stato progettato per garantire la sicurezza delle informazioni relative alle carte di pagamento e proteggere i titolari di carta da frodi e furti di identità. Lo standard è composto da 12 requisiti fondamentali, suddivisi in sei diverse categorie.
Le sei categorie di PCI DSS sono:
i) Creare e mantenere una rete sicura
ii) Proteggere i dati dei titolari di carta
iii) Mantenere un programma di gestione delle vulnerabilità
iv) Implementare forti misure di controllo degli accessi
v) Monitorare e testare regolarmente le reti
vi) Mantenere una politica di sicurezza delle informazioni
Per ottenere la conformità agli standard PCI DSS, le organizzazioni devono soddisfare i 12 requisiti fondamentali dello standard. Questi requisiti includono:
i) Installare e mantenere un firewall per proteggere i dati dei titolari di carta
ii) Non utilizzare i valori predefiniti forniti dal fornitore per le password di sistema e altri parametri di sicurezza
iii) Proteggere i dati dei titolari di carta memorizzati
iv) Crittografare la trasmissione dei dati dei titolari di carta e delle informazioni sensibili attraverso le reti pubbliche
v) Utilizzare e aggiornare regolarmente il software antivirus
vi) Sviluppare e mantenere sistemi e applicazioni sicure
vii) Limitare l'accesso ai dati dei titolari di carta in base alla necessità aziendale di sapere
viii) Assegnare un ID unico a ogni persona con accesso al computer
ix) Limitare l'accesso fisico ai dati dei titolari di carta
x) Tracciare e monitorare tutti gli accessi alle risorse di rete e ai dati dei titolari di carta
xi) Testare regolarmente i sistemi e i processi di sicurezza
xii) Mantenere una politica che affronti la sicurezza delle informazioni
La conformità agli standard PCI DSS offre una serie di vantaggi alle organizzazioni. Questi includono:
i) Miglioramento della sicurezza dei dati
ii) Riduzione del rischio di violazione dei dati
iii) Riduzione del rischio di frode e di furto di identità
iv) Miglioramento della fiducia dei clienti
v) Creazione di fiducia nell'organizzazione
Le organizzazioni che elaborano, memorizzano o trasmettono i dati dei titolari di carta sono tenute a completare un Questionario di autovalutazione (SAQ). Si tratta di una serie di domande volte a valutare il livello di conformità di un'organizzazione ai requisiti PCI DSS. A seconda del tipo di ambiente in cui opera un'organizzazione, il SAQ varia.
Alle organizzazioni che elaborano, archiviano o trasmettono dati di titolari di carta può essere richiesto di compilare un Rapporto sulla conformità (ROC). Si tratta di un documento che dimostra che un'organizzazione rispetta i requisiti dello standard PCI DSS. Il ROC deve essere compilato da un Valutatore di Sicurezza Qualificato (QSA).
Un Valutatore di sicurezza qualificato (QSA) è una terza parte indipendente certificata da PCI SSC per valutare e convalidare la conformità di un'organizzazione allo standard PCI DSS. Il QSA è responsabile della valutazione dei sistemi e delle procedure di sicurezza di un'organizzazione e fornisce un rapporto sui risultati ottenuti.
Il Payment Card Industry Data Security Standard (PCI DSS) è un insieme di standard di sicurezza progettati per garantire la sicurezza delle informazioni relative alle carte di pagamento. La conformità agli standard PCI DSS offre una serie di vantaggi, tra cui una maggiore sicurezza dei dati, una riduzione del rischio di violazione dei dati e una maggiore fiducia dei clienti. Le organizzazioni che elaborano, archiviano o trasmettono i dati dei titolari di carta devono completare un Questionario di autovalutazione (SAQ) e un Rapporto di conformità (ROC). Un Valutatore di Sicurezza Qualificato (QSA) può valutare il livello di conformità di un'organizzazione allo standard PCI DSS.
Esistono quattro standard PCI del settore delle carte di pagamento:
1. Standard di sicurezza dei dati PCI (PCI DSS)
2. Standard di sicurezza dei dati delle applicazioni di pagamento (PA-D)
3. Standard di sicurezza delle applicazioni di pagamento (PA-D) Standard di sicurezza dei dati delle applicazioni di pagamento (PA-DSS)
3. Sicurezza delle transazioni PIN dell'industria delle carte di pagamento (PCI PTS)
4. Archiviazione dei dati dell'industria delle carte di pagamento (PCI DSS)
1. Lo standard di sicurezza dei dati PCI (PCI DSS) è un insieme di requisiti di sicurezza progettati per proteggere i dati dei titolari di carta. PCI DSS si applica a tutte le organizzazioni che memorizzano, elaborano o trasmettono i dati dei titolari di carta.
2. Il Payment Application Data Security Standard (PA-DSS) è un insieme di requisiti di sicurezza per i fornitori di software che sviluppano applicazioni di pagamento utilizzate per accettare o elaborare i dati dei titolari di carta.
3. Il Payment Card Industry PIN Transaction Security (PCI PTS) è un insieme di requisiti di sicurezza per i dispositivi utilizzati per accettare o elaborare transazioni basate su PIN.
4. Il Payment Card Industry Data Storage (PCI DSS) è un insieme di requisiti di sicurezza per le organizzazioni che memorizzano i dati dei titolari di carta.
Il Payment Card Industry Data Security Standard (PCI DSS) contiene dodici requisiti. Questi requisiti sono concepiti per garantire che i dati sensibili delle carte di pagamento siano gestiti e protetti in modo sicuro durante l'intero processo di transazione. I requisiti coprono aree quali la sicurezza dei dati, la sicurezza della rete e il controllo degli accessi.