Se la tua azienda è responsabile del trattamento dei pagamenti con carta di credito, allora la conformità PCI DSS è una parte essenziale per proteggere i dati delle carte di pagamento dei clienti e proteggere la tua azienda dalle conseguenze devastanti di una violazione dei dati.
La spiacevole realtà è che le frodi con carta di credito continuano ad aumentare, e secondo il Consumer Sentinel Network della Federal Trade Commission, le segnalazioni di frodi con carta di credito sono aumentate del 104% tra il primo trimestre del 2019 e il primo trimestre del 2020.
La protezione dei dati dei titolari di carta di credito non è mai stata così importante e PCI DSS pone le basi per il mantenimento delle rigorose misure di sicurezza necessarie a proteggere questi dati sensibili. La nostra guida alla conformità agli standard PCI DSS spiega come funzionano gli standard PCI DSS, a chi si applicano e quali sono i passi da compiere per diventare conformi.
Cos'è PCI DSS?
Il Payment Card Industry Data Security Standard (PCI DSS) è un insieme di standard di sicurezza progettato per ridurre il rischio di frode con carta di credito e aumentare la sicurezza dei dati della carta di pagamento. È stato fondato nel 2004 dalle quattro principali società di carte di credito: Visa, Mastercard, Discover e American Express. PCI DSS si è evoluto nel corso degli anni ed è ora regolato dal PCI Security Standards Council (PCI SSC). Il PCI SSC definisce e gestisce gli standard, mentre la conformità è imposta dalle singole società di carte di credito.
Chi è interessato da PCI DSS?
PCI DSS si applica a qualsiasi organizzazione che memorizza, elabora o trasmette dati di titolari di carta. Per determinare i requisiti di conformità che si applicano alle singole aziende, il PCI SCC ha creato un sistema a quattro livelli che classifica le aziende in base alle dimensioni delle transazioni e al rischio.
Livello 1 - I commercianti che elaborano più di 6 milioni di transazioni all'anno, o quelli che hanno avuto dati compromessi in passato.
Livello 2 - Commercianti che elaborano tra 1 e 6 milioni di transazioni all'anno.
Livello 3 - Commercianti che elaborano tra 20.000 e 1 milione di transazioni all'anno.
Livello 4 - Commercianti che elaborano meno di 20.000 transazioni all'anno.
Nonostante la creazione di più livelli, i requisiti rimangono gli stessi per tutti i commercianti e fornitori di servizi, in tutti i settori.
Come potrebbero essere compromessi i dati dei titolari di carta?
Per ottenere l'accesso ai dati sensibili dei titolari di carta, i criminali informatici tenteranno di sfruttare qualsiasi vulnerabilità di sicurezza nei vostri sistemi operativi e dispositivi. Questo potrebbe avvenire attraverso:
- Lettori di carte
- Sistema del punto di vendita
- Database del sistema di pagamento
- Reti di stoccaggio
- Portali online
- Rete senza fili
- Documenti cartacei
Quali sono i 12 requisiti della conformità PCI DSS?
PCI DSS contiene 12 requisiti che sono progettati per proteggere i dati dei titolari di carta e prevenire le violazioni dei dati. Questi standard non si applicano solo ai commercianti, ma a qualsiasi altra azienda che memorizza, elabora o trasmette i dati dei titolari di carta.
1. Installare e mantenere una configurazione firewall per proteggere i dati dei titolari di carta
Un firewall è un dispositivo di sicurezza di rete che controlla il traffico di rete in entrata e in uscita e decide se bloccare il traffico specifico in base a un insieme definito di regole di sicurezza. È la vostra prima linea di difesa contro le minacce alla sicurezza e dovrebbe essere regolarmente testato, gestito e aggiornato.
2. Non usare i valori predefiniti del fornitore per le password di sistema e altri parametri di sicurezza
I criminali informatici utilizzano spesso password e impostazioni predefinite per compromettere i sistemi. È fondamentale cambiare immediatamente qualsiasi credenziale di default prima di introdurre nuovi sistemi nella vostra rete.
3. Proteggere i dati del titolare della carta memorizzati
La protezione dei dati dei titolari di carta, sia in formato fisico che digitale, è fondamentale per la conformità con PCI DSS. I criminali informatici spesso prendono di mira i dati dei titolari di carta memorizzati e li usano per eseguire transazioni fraudolente. Laddove i dati dei titolari di carta di credito devono essere memorizzati, è necessario assicurarsi che siano in atto le misure di sicurezza corrette per soddisfare i diversi requisiti legali, normativi e di conformità.
4. Crittografare la trasmissione dei dati dei titolari di carta attraverso reti aperte e pubbliche
Quando i dati dei titolari di carta vengono trasmessi attraverso reti facilmente accessibili, i criminali informatici possono tentare di intercettare i dati. Per garantire che i dati siano sicuri e protetti, devono essere criptati con crittografia forte e protocolli di sicurezza come Secure Shell (SHH), IPSec e Transport Layer Security (TLS).
5. Usare e aggiornare regolarmente il software anti-virus
Ilsoftware antivirus dovrebbe essere installato su tutti i sistemi aziendali critici per prevenire l'introduzione di malware nella vostra rete. Questo aiuterà a proteggere i dati dei titolari di carta e a fornire una maggiore protezione contro i virus appena creati.
6. Sviluppare e mantenere sistemi e applicazioni sicuri
I criminali informatici spesso sfruttano le vulnerabilità del tuo sistema per accedere ai dati sensibili dei titolari di carta. I venditori di rete rilasciano regolarmente delle patch per risolvere le vulnerabilità di sicurezza, quindi è fondamentale applicarle non appena vengono rilasciate. Le patch sono essenziali per mantenere i sistemi aggiornati, stabili e sicuri da malware e altre minacce.
7. Limitare l'accesso ai dati del titolare della carta in base alla necessità aziendale di sapere
L'accesso ai dati del titolare della carta dovrebbe essere concesso solo sulla base della necessità di sapere. L'errore dei dipendenti rimane la causa principale di tutte le violazioni di dati, quindi dovrebbero essere messi in atto forti controlli di accesso per garantire che solo il personale che ha bisogno di fare transazioni abbia l'accesso.
8. Identificare e autenticare l'accesso ai componenti del sistema
Ad ogni membro del personale che ha accesso alle informazioni sensibili dovrebbe essere assegnato un ID unico. Questo vi permetterà di tracciare chi accede a specifici sistemi e quando.
9. Limitare l'accesso fisico ai dati del titolare della carta
L'accesso fisico ai sistemi informatici contenenti i dati dei titolari di carta dovrebbe essere limitato ai membri autorizzati del personale. Questo impedirà a qualsiasi individuo non autorizzato di accedere fisicamente ai sistemi o di fare copie cartacee di dati sensibili.
10. Tracciare e monitorare tutti gli accessi alle risorse di rete e ai dati dei titolari di carta
L'accesso alle risorse di rete e ai dati dei titolari di carta dovrebbe essere strettamente monitorato e tutte le attività registrate. Questo audit trail può aiutare a rilevare un comportamento malevolo e identificare una violazione.
11. Testare regolarmente i sistemi e i processi di sicurezza
Emergono sempre nuove vulnerabilità, quindi è importante testare regolarmente i tuoi sistemi e processi per garantire la sicurezza. PCI DSS raccomanda anche test di penetrazione regolari e l'uso di sistemi di rilevamento e prevenzione delle intrusioni per garantire la sicurezza dei dati dei titolari di carta.
12. Mantenere una politica che affronti la sicurezza delle informazioni per tutto il personale
Una forte politica di sicurezza conforme a PCI DSS dovrebbe essere implementata in tutta l'azienda. Questo aiuterà a stabilire uno standard per ciò che ci si aspetta dal tuo staff e a sottolineare la necessità della sicurezza dei dati all'interno della tua organizzazione.
Perché la conformità PCI DSS è così importante?
La conformità ai requisiti PCI DSS è fondamentale per poter elaborare le transazioni con carta, proteggere i dati dei titolari di carta e ridurre la possibilità di una costosa violazione. Sebbene il PCI DSS non sia un requisito legale, in base al GDPR i dati delle carte di credito sono considerati dati personali, il che significa che siete obbligati per legge a mantenerli sicuri e protetti.
Cosa succede se non sei conforme a PCI DSS?
La non conformità a PCI DSS può portare a gravi incidenti di sicurezza come la violazione o il furto dei dati dei titolari di carta. Una violazione dei dati può causare danni irreparabili alla tua azienda e, oltre alle multe salatissime, la tua azienda potrebbe subire ulteriori conseguenze dall'incapacità di proteggere i dati sensibili dei titolari di carta. Queste includono:
- Aumento del rischio di compromissione dei dati delle carte di pagamento
- Multe e sanzioni
- Costi di compensazione
- Perdita di fiducia dei consumatori
- Danni alla reputazione del marchio
- Azioni legali - costi, accordi e sentenze
- Perdite di posti di lavoro
- Cessazione della capacità di elaborare carte di pagamento
- Finire gli affari
Conclusione
I criminali informatici stanno approfittando dell'aumento delle transazioni digitali e sfruttando le vulnerabilità dei sistemi per accedere ai dati sensibili dei titolari di carta. Per combattere questa attività fraudolenta, è fondamentale che la tua organizzazione sia conforme allo standard PCI DSS e che prenda tutte le misure necessarie per garantire le transazioni di pagamento e proteggere i dati dei clienti.
Per contribuire a migliorare la consapevolezza della sicurezza informatica all'interno della vostra organizzazione e ridurre la possibilità di una costosa violazione dei dati, abbiamo creato una risorsa indispensabile per implementare un cambiamento di comportamento e creare una cultura di consapevolezza informatica.
In questa guida Cyber Security Awareness For Dummies, imparerete:
-Come implementare una campagna di consapevolezza dei rischi informatici.
-Come mantenere lo slancio, l'impegno e l'attenzione del personale nei confronti delle minacce alla sicurezza informatica.
-10 Migliori pratiche di consapevolezza della sicurezza informatica.
Fare clic qui per accedere alla guida Cyber Security Awareness For Dummies.