Home
>
Checkout.com Blog
>
Cos'è la conformità PCI? Una guida per le aziende

Cos'è la conformità PCI? Una guida per le aziende

Apr 26, 2023
Checkout.com

Il Web può offrire alle aziende un terreno fertile per la loro crescita, ma l’aumento delle insidie per i consumatori impone che offrano metodi di pagamento sempre più sicuri.

Chiunque voglia essere competitivo sul mercato deve accettare le carte di credito sia che si parli di commercio al dettaglio con il POS, sia e soprattutto, nelle operazioni online. In più la tendenza è delineata: rifiutare il pagamento con carta, alla luce delle ultime normative che pongono dei limiti all’utilizzo dei contanti, è praticamente vietato. Nonostante ciò, le frodi con le carte di credito, i furti di identità e i furti di dati stanno aumentando a ritmi allarmanti. E la sicurezza sul web è ormai un fattore. Guardando al mercato italiano, La Banca d’Italia, nella sua relazione annuale del 2021 (quella del 2022 è attesa per maggio 2023), ha rilevato un aumento delle truffe online: il 18% degli esposti presentati riguarda i servizi e gli strumenti di pagamento, segnalando un aumento dell’8% rispetto all’anno precedente.

I sistemi di pagamento online hanno un impatto diretto sulla vita quotidiana. Dalle utenze agli acquisti sugli e-commerce o agli abbonamenti per accedere a servizi in streaming, la nostra vita online è costellata dai pagamenti elettronici e dalla continua condivisione sul web di dati sensibili.

Quindi affidarsi negli acquisti a un’azienda che dispone di sistemi sicuri per il pagamento, è un fattore fondamentale. Le aziende sono le prime a trarne giovamento, rendendosi così altamente competitive: è fondamentale che le aziende proteggano i dati delle carte di pagamento dei loro clienti. La scarsa sicurezza permette, infatti, ai criminali informatici di rubare e utilizzare le informazioni finanziarie personali dei consumatori dalle transazioni di pagamento e dai sistemi di elaborazione.

Nel 2023 le frodi aumenteranno del 20%

Stando a un recente studio di Juniper Research il costo totale delle frodi ecommerce atteso per il 2023 per i venditori online supererà i 48 miliardi di dollari a livello globale, quasi il 20% in più rispetto ai 41 miliardi di dollari stimati per il 2022. Secondo questo studio questa crescita è accelerata dal crescente utilizzo di metodi di pagamento alternativi, come i portafogli digitali e il Bnpl (Buy-Now-Pay-Later). Le perdite cumulative che subiranno gli esercenti a causa delle frodi nei pagamenti online a livello globale tra il 2023 e il 2027 supereranno i 343 miliardi di dollari (da “Fighting online payment fraud in 2022 & beyond”, Juniper Research).

Come difendersi: la conformità PCI

Il Payment Card Industry Data Security Standard (PCI DSS) è lo standard internazionale per la protezione dei dati del settore delle carte di pagamento, e ha lo scopo di aiutare gli esercenti e i fornitori di servizi a proteggere le transazioni con carte di debito e di credito dalle violazioni dei dati.

Tutte le aziende che accettano, trasmettono o memorizzano informazioni private dei titolari di carte di pagamento devono rispettare i 12 requisiti operativi e tecnici di conformità PCI. Questo per mantenere ambienti sicuri e proteggere i dati dei titolari di carta dei loro clienti e la loro reputazione di aziende affidabili.

Gli standard PCI DSS: un po’ di storia
Nel 2004, in risposta all'aumento vertiginoso delle frodi con le carte di credito, Visa, Discover, Mastercard, American Express e JCB lanciarono il PCI DSS 1.0. Poi, nel 2006, i brand delle carte di credito hanno aggiunto altre organizzazioni alla loro iniziativa di sicurezza, tra cui esercenti, istituti finanziari, venditori di punti vendita, sviluppatori di software e società di elaborazione, e hanno formato il PCI Security Standards Council (PCI SSC). Il PCI SSC richiede che le aziende diventino conformi agli standard PCI DSS e dimostrino il loro impegno costante nel proteggere i dati delle carte di credito.
La versione PCI DSS 1.1 è stata rilasciata nel 2006, mentre l'ultima evoluzione dello standard, il PCI DSS 4.0, è stata rilasciata il 31 marzo 2022. Tuttavia, la versione precedente, PCI DSS v3.2.1, che comprende 12 requisiti principali e oltre 300 sotto-requisiti, che rappresentano le procedure ottimali per garantire la sicurezza dei dati, sarà ancora attiva fino al 31 marzo 2024, dando alle aziende due anni di tempo per comprendere e implementare PCI DSS 4.0. A quel punto, PCI DSS 4.0 sostituirà il v3.2.1. Ma le aziende avranno tempo fino al 31 marzo 2025 per verificare la conformità agli standard PCI DSS 4.0.

I 12 requisiti di conformità PCI

I 12 requisiti di conformità PCI stabiliti da PCI SSC sono sia operativi che tecnici; tuttavia, l'obiettivo principale di questi requisiti è sempre la protezione dei dati dei titolari di carta. Questi sono i 12 requisiti stabiliti da PCI SSC per PCI DSS 4.0 (differiscono leggermente dalle regole per PCI DSS v3.2.1).

1. Introduci e aggiorna controlli di sicurezza della rete

I controlli di sicurezza di rete, come i firewall “controllano il traffico di rete tra due o più segmenti di rete logici o fisici (o sottoreti) in base a criteri o regole predefinite". Storicamente, questo è stato fatto utilizzando firewall fisici. Ora, però, anche i controlli di accesso al cloud, i dispositivi virtuali, i sistemi di virtualizzazione/container e altre tecnologie di rete definite dal software possono fungere da controlli di sicurezza della rete.

2. Applica configurazioni sicure a tutti i componenti del sistema

Spesso i malintenzionati all'interno e all'esterno di un'azienda sfruttano password predefinite e altre impostazioni predefinite del fornitore per ottenere un accesso non autorizzato ai sistemi dell'azienda. Applicando configurazioni sicure ai componenti del sistema, un'azienda riduce i modi in cui un malintenzionato può compromettere i suoi sistemi. Inoltre, un'azienda può contribuire a ridurre i potenziali attacchi rimuovendo software, account e funzioni non necessari, modificando le password predefinite e rimuovendo o disattivando i servizi non necessari.

3. Proteggi i dati degli account in-store

Le organizzazioni non dovrebbero memorizzare i dati degli account di pagamento a meno che non siano essenziali per l'azienda. Inoltre, le aziende non dovrebbero memorizzare i dati sensibili di autenticazione dopo che le transazioni sono state autorizzate. Se le aziende memorizzano i numeri di conto primario (PAN) dei clienti, devono assicurarsi che questi numeri non possano essere letti. Le aziende che memorizzano dati di autenticazione sensibili prima che l'autorizzazione sia completata devono proteggere anche questi dati.

4. Proteggi i dati dei titolari di carta con una crittografia forte durante la trasmissione su reti pubbliche e aperte

Le aziende devono criptare i PAN quando vengono trasmessi su reti a cui i malintenzionati possono accedere facilmente, come ad esempio network aperti, pubblici e non affidabili. Gli attori delle minacce continuano a prendere di mira le reti wireless non configurate correttamente. Inoltre, prendono di mira le falle nei protocolli di autenticazione e nella crittografia per ottenere un accesso privilegiato a tutti i sistemi che archiviano, gestiscono o trasmettono i dati dei titolari di carte di credito. Per proteggere le trasmissioni dei dati PAN, le aziende possono criptare la sessione in cui vengono trasmessi i dati, criptare i dati prima che vengano trasmessi o eseguire entrambe le operazioni.

5. Proteggi tutti i sistemi e le reti dai malware

Un malware è un programma o codice che viene installato su un computer all'insaputa o senza il consenso di un'azienda per compromettere i sistemi, i dati e/o le applicazioni dell'azienda. Il malware comprende trojan, worm, virus, ransomware, spyware, codici maligni, rootkit, keylogger e script. Gli autori di malware lo inviano a una rete aziendale sfruttando una serie di metodi, tra cui la semplice navigazione sul web, le email e attacchi di phishing.

6. Progetta e aggiorna i sistemi e i software contro le vulnerabilità

Gli aggressori possono sfruttare le vulnerabilità di sicurezza delle applicazioni e dei sistemi per accedere ai dati di pagamento. Tuttavia, un’azienda può eliminare molte di queste falle utilizzando gli aggiornamenti di sicurezza messi a disposizione dai fornitori attraverso le patch. Le patch, dall’inglese “pezza”, è una porzione di software utilizzato per aggiornare un programma o correggere problemi di vulnerabilità.  Riparano rapidamente specifici blocchi di codice di programmazione. Per evitare che i criminali informatici sfruttino tali vulnerabilità, le aziende devono aggiornare i sistemi e le applicazioni soggette a criticità.

Questo però non sempre basta. Le aziende devono anche applicare le patch ai sistemi che non sono così critici secondo una periodicità che poggia su un'analisi formale del rischio. Secondo il PCI Security Standards Council "Le applicazioni devono essere sviluppate secondo pratiche di sviluppo e codifica sicure e le modifiche ai sistemi che conservano i dati dei titolari di carte devono rispettare specifiche procedure di controllo".

7. Limita l'accesso ai dati dei titolari di carta

I pirati informatici possono accedere a sistemi e dati sensibili perché le regole e le procedure di controllo non sono efficaci. Per assicurarsi che solo le persone autorizzate possano accedere ai dati critici, le aziende devono implementare sistemi e processi che garantiscano che gli utenti abbiano motivi legittimi per accedere alle informazioni sensibili. Inoltre, un’azienda deve consentire loro di accedere solo alle informazioni di cui hanno bisogno per svolgere il proprio lavoro, indipendentemente dal livello di autorizzazione di sicurezza o da altre approvazioni.

8. Identifica gli utenti e autentica l'accesso ai componenti del sistema

Le aziende devono assegnare un identificativo unico a chiunque abbia accesso a dati e sistemi sensibili, in modo da essere sicure che solo persone conosciute e autorizzate stiano lavorando con i dati. In questo modo le aziende possono risalire più facilmente a colori che hanno lavorato su quei dati. "Questi requisiti si applicano a tutti gli account, compresi quelli dei punti vendita, quelli con capacità amministrative e tutti gli account utilizzati per visualizzare o accedere ai dati dei conti di pagamento o ai sistemi che contengono tali dati", afferma il PCI SSC. Tuttavia, questi requisiti non si applicano agli account utilizzati dai titolari di carta.

9. Limita l'accesso fisico ai dati dei titolari di carta

Le aziende devono limitare l'accesso fisico ai dati dei titolari di carta o ai sistemi che li conservano, li elaborano o li trasmettono. In questo modo si evita che persone non autorizzate accedano fisicamente ai sistemi o rimuovano i documenti cartacei contenenti dati sensibili.

10. Registra e monitora tutti gli accessi ai componenti del sistema e ai dati dei titolari di carta

È fondamentale che le aziende implementino meccanismi di registrazione in modo da poter tracciare le attività degli utenti per individuare anomalie e attività sospette e per effettuare un'efficace analisi forense. La registrazione consente alle aziende di tracciare in modo approfondito l'attività degli utenti e di rilevare se qualcosa va storto. Senza i registri delle attività di sistema, è praticamente impossibile identificare la causa di una compromissione.

11. Verifica regolarmente la sicurezza di sistemi e reti

Ricercatori e criminali informatici scoprono continuamente nuove falle nel software. Inoltre, le vulnerabilità vengono introdotte quando viene rilasciato un nuovo software. Di conseguenza, le aziende devono testare frequentemente i componenti del sistema, i processi e il software personalizzato per assicurarsi che i controlli di sicurezza siano adeguati.

12. Rafforza la sicurezza delle informazioni con policy e programmi organizzativi

Le aziende devono assicurarsi che tutti i dipendenti comprendano la delicatezza dei dati dei conti di pagamento e cosa devono fare per proteggerli. L'implementazione di una forte politica di sicurezza stabilisce il tono della sicurezza in tutta l'azienda e fa capire ai dipendenti quali sono le loro responsabilità in termini di sicurezza.

Gli esercenti devono essere conformi alla normativa PCI se i pagamenti vengono elaborati da terzi?

Gli esercenti che utilizzano processori di pagamento di terze parti devono comunque essere conformi alla normativa PCI. Tuttavia, l'utilizzo di terze parti ridurrà molto probabilmente l'esposizione al rischio e renderà più semplice la convalida della conformità.

I gateway di pagamento di terze parti utilizzano metodi di sicurezza dei dati, come la tokenizzazione, che consentono a un’azienda di memorizzare i token sui loro server locali al posto dei dati reali. I token sostituiscono i dati sensibili della carta senza esporre i dettagli dell'account spesso con dati numerici o alfanumerici. La tokenizzazione permette alle aziende di offrire ai clienti pagamenti con un solo click per rendere il processo di checkout più semplice e veloce.

L'utilizzo di gateway di pagamento può eliminare parte dell'onere della conformità PCI; tuttavia, le aziende sono ancora responsabili della propria sicurezza e devono impegnarsi a testare, rafforzare e aggiornare continuamente la propria conformità PCI.

Quali sono i 4 livelli di conformità PCI?

Esistono quattro livelli di conformità PCI, determinati dal numero di transazioni che un'azienda gestisce ogni anno. I brand di pagamento, ovvero American Express, Visa, Mastercard, Discover e JCB, hanno i loro programmi di conformità e le loro soglie per i livelli di conformità PCI DSS.

Livello 1: applicabile ad aziende che

  • ogni anno effettuano 6 milioni o più transazioni Visa, Mastercard (combinate con Maestro) o Discover.
  • ogni anno effettuano 2,5 milioni o più transazioni American Express.
  • ogni anno effettuano 1 milione o più transazioni JCB.

Inoltre, a qualsiasi azienda che:

  • Ha subito un cyberattacco o una violazione dei dati che ha compromesso i dati dei titolari di una carta
  • È stata identificata come di livello 1 da uno dei circuiti di carte.

Adempimenti principali:

  • Valutazione in loco in base ai requisiti e alle procedure di valutazione della sicurezza PCI DSS condotta da un valutatore di sicurezza approvato o da un valutatore di sicurezza interno qualificato.
  • Scansione trimestrale della rete da parte di un ASV.
  • Test annuale di violazione dei sistemi.

Livello 2: per aziende che processano

  • Da 1 a 6 milioni di transazioni Visa, Mastercard (combinate con Maestro) o Discover.
  • Da 50.000 a 2,5 milioni di transazioni American Express.
  • Meno di 1 milione di transazioni JCB.

Adempimenti principali:

  • Autovalutazione annuale utilizzando il questionario di autovalutazione PCI DSS (SAQ).
  • Scansione trimestrale della rete da parte di un ASV.
  • Test annuale di violazione dei sistemi.

Livello 3: per organizzazioni che processano

  • Da 20.000 a 1 milione di transazioni Visa, Mastercard (combinate con Maestro) o Discover.
  • Meno di 50.000 transazioni American Express.

Adempimenti principali:

  • Autovalutazione annuale utilizzando il questionario di autovalutazione PCI DSS (SAQ).
  • Scansione trimestrale della rete alla ricerca di vulnerabilità da parte di un ASV.
  • Compilazione del modulo di Attestazione di Conformità (AOC).

Livello 4: per organizzazioni che processano

  • Meno di 20.000 transazioni e-commerce Visa o Mastercard (combinate con Maestro) o fino a 1 milione di transazioni totali con carta di credito Visa o Mastercard e che non hanno subito una violazione dei dati o un attacco che abbia compromesso i dati della carta o del titolare.
  • Discover, American Express e JCB non hanno la designazione di livello 4 PCI. Discover e American Express si fermano al livello 3 di PCI, mentre JCB si ferma al livello 2 di PCI.

Adempimenti principali:

  • Completamento del SAQ appropriato.
  • Scansione trimestrale della rete da parte di un ASV.
  • Completamento di un AOC.

Come fa Checkout ad aiutare le aziende a rispettare le norme PCI?

Checkout è conforme al livello 1 del PCI DSS (che è lo standard più elevato stabilito dal settore delle carte di pagamento). Anche se all'inizio la conformità PCI può sembrare un'impresa ardua, ci sono molte risorse a cui appoggiarsi per ottenere aiuto.

Ad esempio, i Qualified Security Assessors (QSA) sono organizzazioni di sicurezza indipendenti e persone qualificate dal PCI Security Standards Council. I QSA possono convalidare l'adesione di un'entità agli standard PCI DSS e possono supportare gli esercenti durante il processo.

Per offrire assistenza agli esercenti in merito alla conformità PCI, Checkout.com ha stretto una partnership con SecurityMetrics, una società di QSA.

Ma non basta: molti fornitori di servizi di pagamento (PSP) addebitano alle aziende commissioni mensili o annuali per la conformità PCI. Checkout.com, invece, non applica alcuna tariffa di conformità PCI. I PSP sono tenuti a rispettare gli standard PCI, ma molti di loro forniscono agli esercenti strumenti e servizi aggiuntivi per la conformità PCI e li fanno pagare. Le tariffe per la conformità PCI dipendono dai PSP che le applicano. Ma spesso è difficile per le aziende sapere quale sia il supporto extra che i loro fornitori fanno pagare.

Per saperne di più su come Checkout.com può aiutare a implementare la conformità PCI, consulta la nostra documentazione.

Approfitta oggi stesso delle potenzialità dei tuoi pagamenti

Informazioni di contatto