Se la tua azienda è responsabile dei pagamenti con carta di credito, la conformità agli standard PCI DSS è una parte essenziale della protezione dei dati delle carte di pagamento dei clienti e della protezione della tua azienda dalle conseguenze devastanti di una violazione dei dati.

La spiacevole realtà è che le frodi con carta di credito continuano ad aumentare e, secondo il Consumer Sentinel Network della Federal Trade Commission, le segnalazioni di frodi con carta di credito sono aumentate del 104% tra il primo trimestre del 2019 e il primo trimestre del 2020.

La protezione dei dati dei titolari di carta di credito non è mai stata così importante e il PCI DSS pone le basi per il mantenimento delle rigorose misure di sicurezza necessarie a proteggere questi dati sensibili. La nostra guida alla conformità agli standard PCI DSS ti spiega come funzionano gli standard PCI DSS, a chi si applicano e quali sono i passi da compiere per diventare conformi.

Cos’è il PCI DSS?

Il Payment Card Industry Data Security Standard (PCI DSS) è un insieme di standard di sicurezza progettati per ridurre il rischio di frode con le carte di credito e aumentare la sicurezza dei dati delle carte di pagamento. È stato fondato nel 2004 dalle quattro principali società di carte di credito: Visa, Mastercard, Discover e American Express. Il PCI DSS si è evoluto nel corso degli anni ed è ora regolamentato dal PCI Security Standards Council (PCI SSC). Il PCI SSC definisce e gestisce gli standard, mentre il rispetto delle norme viene imposto dalle singole società di carte di credito.

A chi si riferiscono gli standard PCI DSS?

Il PCI DSS si applica a qualsiasi organizzazione che memorizza, elabora o trasmette i dati dei titolari di carta. Per determinare i requisiti di conformità applicabili alle singole aziende, il PCI SCC ha creato un sistema a quattro livelli che classifica le aziende in base alle dimensioni delle transazioni e al rischio.

Livello 1 – Esercenti che elaborano oltre 6 milioni di transazioni all’anno o che in passato hanno subito una compromissione dei dati.

Livello 2 – Esercenti che elaborano tra 1 e 6 milioni di transazioni all’anno.

Livello 3 – Esercenti che elaborano tra 20.000 e 1 milione di transazioni all’anno.

Livello 4 – Esercenti che effettuano meno di 20.000 transazioni all’anno.

Nonostante la creazione di più livelli, i requisiti rimangono gli stessi per tutti gli esercenti e i fornitori di servizi, in tutti i settori.

Conformità PCI DSS

Come possono essere compromessi i dati dei titolari di carta?

Per accedere ai dati sensibili dei titolari di carta, i criminali informatici cercheranno di sfruttare le vulnerabilità di sicurezza dei tuoi sistemi operativi e dei tuoi dispositivi. Questo potrebbe avvenire attraverso:

  • Lettori di schede

  • Sistema di punti vendita

  • Database del sistema di pagamento

  • Reti di archiviazione

  • Portali online

  • Rete wireless

  • Registri cartacei

Quali sono i 12 requisiti della conformità agli standard PCI DSS?

Gli standard PCI DSS contengono 12 requisiti che mirano a proteggere i dati dei titolari di carta di credito e a prevenire le violazioni dei dati. Questi standard non si applicano solo agli esercenti, ma a qualsiasi altra azienda che memorizza, elabora o trasmette i dati dei titolari di carta.

1. Installa e mantieni una configurazione del firewall per proteggere i dati dei titolari di carta.

Il firewall è un dispositivo di sicurezza di rete che monitora il traffico di rete in entrata e in uscita e decide se bloccare un determinato traffico in base a una serie di regole di sicurezza definite. È la prima linea di difesa contro le minacce alla sicurezza e deve essere regolarmente testato, gestito e aggiornato.

2. Non utilizzare i valori predefiniti forniti dal fornitore per le password di sistema e altri parametri di sicurezza.

I criminali informatici utilizzano spesso password e impostazioni predefinite per compromettere i sistemi. È fondamentale modificare immediatamente le credenziali predefinite prima di introdurre nuovi sistemi nella rete.

3. Proteggere i dati dei titolari di carta memorizzati

Proteggere i dati dei titolari di carta di credito, sia in formato fisico che digitale, è fondamentale per essere conformi agli standard PCI DSS. I criminali informatici spesso prendono di mira i dati dei titolari di carta memorizzati e li utilizzano per effettuare transazioni fraudolente. Quando i dati dei titolari di carta di credito devono essere conservati, devi assicurarti di adottare le misure di sicurezza corrette per soddisfare i diversi requisiti legali, normativi e di conformità.

4. Crittografa la trasmissione dei dati dei titolari di carta su reti pubbliche e aperte.

Quando i dati dei titolari di carta vengono trasmessi su reti facilmente accessibili, i criminali informatici possono tentare di intercettarli. Per garantire la sicurezza dei dati, questi devono essere criptati con una crittografia forte e protocolli di sicurezza come Secure Shell (SHH), IPSec e Transport Layer Security (TLS).

5. Utilizza e aggiorna regolarmente il software antivirus

Il software antivirus deve essere installato su tutti i sistemi aziendali critici per evitare che il malware venga introdotto nella rete. Questo aiuterà a proteggere i dati dei titolari di carta e fornirà una maggiore protezione contro i nuovi virus.

6. Sviluppare e mantenere sistemi e applicazioni sicuri

I criminali informatici spesso sfruttano le vulnerabilità del tuo sistema per accedere ai dati sensibili dei titolari di carta. I fornitori di rete rilasciano regolarmente delle patch per risolvere le vulnerabilità di sicurezza, quindi è fondamentale applicarle non appena vengono rilasciate. Le patch sono essenziali per mantenere i sistemi aggiornati, stabili e al sicuro da malware e altre minacce.

7. Limitare l’accesso ai dati dei titolari di carta di credito in base alle esigenze aziendali.

L’accesso ai dati dei titolari di carta dovrebbe essere concesso solo in base alla necessità di sapere. L’errore dei dipendenti rimane la causa principale di tutte le violazioni dei dati, quindi è necessario predisporre controlli di accesso rigorosi per garantire che l’accesso sia consentito solo al personale che deve effettuare le transazioni.

8. Identificare e autenticare l’accesso ai componenti del sistema.

A tutti i membri del personale che hanno accesso a informazioni sensibili deve essere assegnato un ID univoco. In questo modo potrai tenere traccia di chi accede a determinati sistemi e quando.

9. Limitare l’accesso fisico ai dati dei titolari di carta

L’accesso fisico ai sistemi informatici contenenti i dati dei titolari di carta deve essere limitato ai membri autorizzati del personale. In questo modo si eviterà che persone non autorizzate possano accedere fisicamente ai sistemi o fare copie cartacee di dati sensibili.

10. Traccia e monitora tutti gli accessi alle risorse di rete e ai dati dei titolari di carta.

L’accesso alle risorse di rete e ai dati dei titolari di carta deve essere monitorato attentamente e tutte le attività devono essere registrate. Questa traccia di audit può aiutare a individuare comportamenti dannosi e a identificare una violazione.

11. Testare regolarmente i sistemi e i processi di sicurezza

Nuove vulnerabilità emergono continuamente, quindi è importante testare regolarmente i sistemi e i processi per garantire la sicurezza. La PCI DSS raccomanda anche di effettuare regolarmente test di penetrazione e di utilizzare sistemi di rilevamento e prevenzione delle intrusioni per garantire la sicurezza dei dati dei titolari di carta.

12. Mantenere una politica di sicurezza delle informazioni per tutto il personale.

Una politica di sicurezza solida e conforme agli standard PCI DSS dovrebbe essere implementata in tutta l’azienda. Questo aiuterà a stabilire uno standard per ciò che ci si aspetta dal personale e a sottolineare la necessità di sicurezza dei dati all’interno dell’organizzazione.

Perché la conformità agli standard PCI DSS è così importante?

La conformità ai requisiti PCI DSS è fondamentale per poter elaborare le transazioni con carta di credito, proteggere i dati dei titolari e ridurre la possibilità di una costosa violazione. Sebbene il PCI DSS non sia un requisito legale, in base al GDPR i dati delle carte di credito sono considerati dati personali, il che significa che sei obbligato per legge a mantenerli sicuri e protetti.

Cosa succede se non sei conforme agli standard PCI DSS?

La mancata conformità agli standard PCI DSS può portare a gravi incidenti di sicurezza come la violazione o il furto dei dati dei titolari di carta. Una violazione dei dati può causare danni irreparabili alla tua azienda e, oltre alle multe salate, la tua azienda potrebbe subire ulteriori conseguenze dovute all’incapacità di proteggere i dati sensibili dei titolari di carta. Queste includono:

  • Aumento del rischio di compromissione dei dati delle carte di pagamento

  • Multe e sanzioni

  • Costi di compensazione

  • Perdita di fiducia dei consumatori

  • Danni alla reputazione del marchio

  • Azioni legali – costi, transazioni e sentenze

  • Perdita di posti di lavoro

  • Cessazione della capacità di elaborare carte di pagamento

  • Chiudere l’attività

Conclusione

I criminali informatici approfittano dell’aumento delle transazioni digitali e sfruttano le vulnerabilità dei sistemi per accedere ai dati sensibili dei titolari di carta. Per combattere queste attività fraudolente, è fondamentale che la tua azienda sia conforme agli standard PCI DSS e che prenda tutte le misure necessarie per proteggere le transazioni di pagamento e i dati dei clienti.

Per aiutarti a migliorare la consapevolezza della sicurezza informatica all’interno della tua organizzazione e ridurre la possibilità di una costosa violazione dei dati, abbiamo creato una risorsa indispensabile per implementare un cambiamento di comportamento e creare una cultura di consapevolezza informatica.

In questa guida Cyber Security Awareness For Dummies, imparerai:

-Come implementare una campagna di sensibilizzazione sui rischi informatici.
-Come mantenere lo slancio, l’impegno e l’attenzione del personale nei confronti delle minacce alla sicurezza informatica.
-10 Le migliori pratiche di sensibilizzazione alla sicurezza informatica.

Clicca qui per accedere alla tua guida Cyber Security Awareness For Dummies.