Il Programma di sicurezza delle informazioni sui titolari di carta (CISP) è un insieme di misure di sicurezza progettate per proteggere i dati delle carte di credito e di debito dei clienti da frodi e abusi. È un sistema standard del settore sviluppato dal Payment Card Industry (PCI) Security Council che aiuta le organizzazioni a prevenire, rilevare e rispondere alle minacce alla sicurezza. Il programma è progettato per garantire la riservatezza, l'integrità e la disponibilità dei dati dei titolari di carta.
Il Cardholder Information Security Program (CISP) comprende una serie di componenti che aiutano le aziende a proteggere i dati dei clienti. Questi componenti includono:
- Standard di sicurezza dei dati (DSS): Questo componente definisce gli standard per la protezione dei dati dei titolari di carta, come la crittografia e le configurazioni dei firewall.
- Payment Application Data Security Standard (PA-DSS): Questo componente definisce gli standard per la protezione delle applicazioni di pagamento, come il software utilizzato per elaborare i pagamenti.
- Network Security Standard (NSS): Questo componente definisce gli standard per la protezione delle reti, come i firewall e i sistemi di rilevamento delle intrusioni.
- Procedura di valutazione della sicurezza (SAP): Questa componente definisce gli standard per la valutazione della sicurezza dei sistemi e dei processi aziendali.
Conformandosi al Cardholder Information Security Program (CISP), le aziende possono trarre diversi vantaggi. Questi vantaggi includono:
- Aumento della fiducia dei clienti: I clienti saranno più propensi a utilizzare i servizi e i prodotti dell'azienda se sanno che i loro dati sono protetti.
- Riduzione del rischio di frode: Conformandosi al CISP, le aziende possono ridurre il rischio di frodi e abusi.
- Riduzione dei costi: Riducendo il rischio di frodi e abusi, le aziende possono risparmiare sui costi legati alla sicurezza.
Il costo della conformità al Cardholder Information Security Program (CISP) dipende dalle dimensioni dell'azienda e dalla complessità dei suoi sistemi. In generale, le aziende dovrebbero aspettarsi di sostenere costi per i seguenti aspetti:
- Valutazioni di sicurezza: Le aziende potrebbero aver bisogno di ingaggiare una terza parte per valutare i loro sistemi e processi.
- Implementazione della sicurezza: Le aziende potrebbero dover acquistare e installare hardware e software di sicurezza.
Formazione dei dipendenti: Le aziende potrebbero dover investire nella formazione dei dipendenti per garantire che comprendano e rispettino i requisiti del CISP.
Per essere conformi al Cardholder Information Security Program (CISP), le aziende devono soddisfare i seguenti requisiti:
- Implementare lo standard di sicurezza dei dati (DSS).
- Implementare lo standard di sicurezza dei dati delle applicazioni di pagamento (PA-DSS).
- Implementare lo standard di sicurezza della rete (NSS).
- Eseguire valutazioni periodiche della sicurezza.
- Sviluppare e mantenere una politica di sicurezza.
Le aziende che non rispettano il Programma di sicurezza delle informazioni sui titolari di carta (CISP) possono incorrere in una serie di conseguenze. Queste conseguenze includono:
- Multe: Le aziende possono essere multate per non aver rispettato i requisiti del CISP.
- Perdita di fiducia dei clienti: I clienti possono essere meno propensi a utilizzare i servizi dell'azienda se sanno che i loro dati non sono protetti.
- Aumento del rischio di frode: Le aziende che non sono conformi al CISP hanno maggiori probabilità di essere prese di mira dai truffatori.
Le aziende possono ottenere la conformità al Cardholder Information Security Program (CISP) adottando le seguenti misure:
- Valutare i propri sistemi e processi per identificare potenziali lacune nella sicurezza.
- Implementare le misure di sicurezza necessarie, come firewall e crittografia.
- Sviluppare e mantenere una politica di sicurezza.
- Formare il personale sulle procedure di sicurezza.
- Monitorare regolarmente la sicurezza dei propri sistemi e processi.
Le aziende possono trovare una serie di risorse per aiutarle con la conformità al Cardholder Information Security Program (CISP). Queste risorse includono:
- Consiglio per la sicurezza PCI: Il PCI Security Council fornisce linee guida e risorse per aiutare le aziende a rispettare il CISP.
- Payment Card Industry Data Security Standard (PCI DSS): È il documento ufficiale del PCI Security Council che delinea i requisiti per la conformità CISP.
- Fornitori di sicurezza: Esistono numerosi fornitori di sicurezza che offrono prodotti e servizi per aiutare le aziende a soddisfare i requisiti CISP.
Il Payment Card Industry Data Security Standard (PCI DSS) è un insieme di standard di sicurezza progettati per proteggere i dati dei titolari di carta. Per ottenere la certificazione PCI DSS, le aziende devono innanzitutto completare un questionario di autovalutazione (SAQ) e sottoporlo alla propria banca acquirente. Il SAQ valuterà la conformità dell'organizzazione ai 12 requisiti PCI DSS. Una volta approvato il SAQ, l'organizzazione dovrà sottoporsi a una valutazione in loco da parte di un valutatore di sicurezza qualificato (QSA). Il QSA verificherà la conformità dell'organizzazione agli standard PCI DSS e rilascerà un Rapporto sulla conformità.
Esistono quattro standard di sicurezza dei dati Payment Card Industry (PCI):
1. PCI DSS v3.2 - Protezione dei dati dei titolari di carta
2. PA-DSS - Protezione delle applicazioni di pagamento. PA-DSS - Protezione delle applicazioni di pagamento
3. PCI PED - Protezione dei dispositivi di inserimento dei pin
4. PCI P2PE - Protezione della crittografia punto-punto