Cos'è la conformità PCI?
- 1781
- 552
- Ian Ross
La conformità dell'industria delle carte di pagamento (PCI) si basa su una serie di 12 standard tecnici e operativi sviluppati dal PCI Security Standards Council (SSC), un organo indipendente formato nel 2006 da American Express, Discover, JCB International, MasterCard e Visa. Questi standard si applicano a qualsiasi azienda che accetti, trasmette o memorizza i dati delle carte di credito. Sono stati creati per garantire un ambiente sicuro che protegga le informazioni sui clienti e sul business da questioni come le violazioni dei dati.
Per comprendere meglio la conformità PCI, è importante sapere cosa comporta, i requisiti e come funziona tutto.
Definizione e requisiti di conformità PCI
La conformità PCI è aderenza a una serie di standard per la sicurezza e la protezione delle carte di credito stabilite da PCI SSC. Questi standard sono stati creati per garantire un ambiente sicuro per qualsiasi azienda che elabora i dati dei titolari di carte.
Mentre il PCI SSC ha sviluppato gli standard, i marchi di pagamento e i commercianti sono responsabili dell'applicazione della conformità.
Ogni marchio di carte di credito può avere i suoi requisiti PCI specifici che le aziende devono seguire. Gli imprenditori dovrebbero verificare con ogni marchio di pagamento per assicurarsi che soddisfino tutti i requisiti necessari.
- Nome alternativo: Standard di sicurezza dei dati del settore delle carte di pagamento
- Acronimo: PCI, PCI DSS
Standard di conformità PCI
Esistono 12 standard creati dal PCI DSS che coprono i componenti del sistema sia tecnico che operativo:
- Mantenere un firewall per proteggere i dati dei titolari di carte
- Utilizzare password di sicurezza di alto livello anziché password di sistema predefinite
- Proteggi i dati dei titolari di carta memorizzati attraverso adeguati protocolli di sicurezza
- Crittografare la trasmissione dei dati del titolare della carta
- Proteggi tutti i sistemi dai malware e aggiorna regolarmente i programmi antivirus
- Sviluppare e mantenere sistemi e applicazioni sicure
- Limitare l'accesso alle informazioni sui titolari di carta
- Identifica e autentica l'accesso a tutti i componenti del sistema
- Limitare l'accesso fisico alle informazioni sui titolari di carta
- Traccia e monitora tutti gli accessi ai dati di rete e titolari di schede
- Spesso di sicurezza e processi di prova spesso
- Mantenere una politica di sicurezza delle informazioni per tutto il personale
Per proteggere le informazioni sensibili al titolare delle carte, è responsabilità di ogni azienda che elabora, trasmette e memorizza i dati delle carte clienti per garantire che gli standard PCI siano soddisfatti. Questi standard possono aiutare i commercianti a proteggersi da hacker e ladri di informazioni.
Non soddisfare questi requisiti può lasciare un'azienda più vulnerabile ai danni finanziari e potrebbe comportare costose commissioni di non conformità valutate dai marchi delle carte di credito.
Come funziona la conformità PCI?
Ogni emittente di carta ha le sue linee guida per la conformità PCI, quindi è una buona idea per gli imprenditori verificare con ciascun emittente per assicurarsi che soddisfino le qualifiche adeguate. Per essere considerati conformi a PCI, le aziende devono passare attraverso un processo in tre fasi che include scoping, valutazione e reporting.
Scoping
In Scoping, gli imprenditori devono identificare tutti i sistemi che se compromessi potrebbero avere un impatto sui dati dei titolari di carte. Gli scoping sono generalmente un processo annuale che prevede la valutazione di tutti i sistemi e i modi in cui i dati dei titolari di carta interagiscono con un'azienda. Questo processo contribuirà a determinare il tipo di valutazione necessaria, nonché l'entità e il costo.
Valutazione
La parte di valutazione della conformità PCI è costituita da un questionario di autovalutazione o di un audit in loco condotto da un valutatore di sicurezza qualificato. Quale valutazione avrà bisogno di un'azienda è determinata dai livelli commerciali della società di credito. Ad esempio, le aziende che elaborano nell'ambito del numero specifico di transazioni con carta da parte di un emittente ogni anno potrebbero richiedere solo un questionario di autovalutazione.
Gli imprenditori possono determinare il loro livello commerciale attraverso il sito Web designato di ciascuna carta di credito, come questi per Visa, MasterCard e American Express.
Reporting
Una volta che gli imprenditori completano l'autovalutazione, dovranno segnalarlo alla società delle carte di credito. Le aziende che si qualificano per una valutazione di persona devono presentare direttamente una relazione sulla conformità all'emittente della carta di pagamento. Le valutazioni di conformità PCI sono richieste solo ogni anno, ma gli imprenditori potrebbero aver bisogno di scansioni trimestrali di vulnerabilità condotte da un fornitore di scansione approvato. Qualunque sia la valutazione, la segnalazione dei risultati dell'audit agli emittenti della carta di pagamento è il passaggio finale per la conformità PCI.
Takeaway chiave
- La conformità PCI è la serie di standard del settore delle carte di credito che le aziende che accettano, trasmettono e archiviano i dati dei titolari di carte devono seguire.
- Esistono 12 standard tecnici e operativi che le aziende devono aderire per soddisfare la conformità PCI.
- C'è un processo in tre fasi per diventare conforme al PCI: scoping, valutazione e reporting.
- Il processo di valutazione prevede di prendere un questionario di autovalutazione o di ottenere un audit in loco.