PCI compliance: che tipo di standard di sicurezza è? Come viene impiegato?

Ogni attività, ogni giorno, registra un volume di transazioni effettuate tramite carta di debito o credito. Allo stesso modo, anche transazioni online aumentano a ritmo sempre maggiore. La facilità e la comodità messe a disposizione dal pagamento tramite POS o smartphone, però, richiedono dei sistemi di sicurezza adeguati in grado di fronteggiare qualsiasi possibile rischio. Per questo motivo sono stati messi a punto degli standard in grado di garantire la sicurezza e la protezione dei dati relativi al titolare della carta, quali gli standard previsti nel Payment Card Industry (abbreviato in PCI), ovvero nel settore delle carte di pagamento.

Che cos’è la PCI compliance

Al fine di garantire la sicurezza nell’ambito della raccolta, dell’elaborazione, della trasmissione e dell’archiviazione dei dati relativi ai possessori e ai titolari delle carte di pagamento, e quindi la loro privacy, le organizzazioni responsabili devono sottostare a determinati requisiti. L’insieme di questi requisiti è compreso in un standard ben definito, ovvero il PCI DSS. Questo acronimo sta per Payment Card Industry Data Security Standard. La PCI compliance consiste, di conseguenza, nell’osservanza di queste norme volte a proteggere e a tutelare la privacy dei titolari di carte che effettuano transazioni. La PCI compliance ha lo scopo di creare uno standard intenzionale in materia di protezione dei dati, adottabile in modo omogeneo da aziende e paesi diversi.

In cosa consiste lo standard PCI DSS?

Come già accennato nel paragrafo che precede, lo standard Payment Card Industry Data Security Standard (PCI DSS) comprende una serie di requisiti finalizzati a garantire la sicurezza e proteggere i dati, le informazioni e la privacy dei titolari di carte di pagamento. Ciò tocca quindi sia i titolari di carte di credito che di carte di debito. Tant’è vero che tra i membri fondatori del PCI Security Standards Council figurano Visa Internationa, American Express, JCB, Discover Financial Services e MasterCard Worldwide, ovvero i maggiori leader nei servizi di pagamento.

Requisiti del PCI DSS

In base al PCI DSS devono quindi essere fornite tutte le necessarie informazioni circa gli istituti finanziari, i commercianti e i provider di servizi che hanno in gestione l’archiviazione, l’utilizzo e l’elaborazione dei dati dei titolari delle carte di pagamento. Questi soggetti devono infatti sottostare a diversi obblighi, che si possono così riassumere:

  • la creazione e la gestione di una rete protetta tramite l’installazione e la configurazione di firewall idonei alla protezione dei dati dei titolari delle carte
  • l’utilizzo di parametri di protezione e valori non predefiniti nel momento della creazione delle password di sistema, in modo da garantire un livello superiore di sicurezza e inaccessibilità
  • la protezione dei dati dei titolari delle carte contenuti negli archivi, sia fisici che dematerializzati
  • la trasmissione dei dati dei titolari delle carte su reti aperte e pubbliche solo tramite algoritmi e chiavi crittografiche (crittografia)
  • l’utilizzo di programmi di sicurezza e di gestione delle vulnerabilità, quali software antivirus costantemente aggiornati e applicazioni la cui sicurezza viene regolarmente testata
  • La gestione e la limitazione dell’accesso ai dati dei titolari delle carte solo in caso di effettivo bisogno e solo al personale autorizzato. Il personale a sua volta deve essere in possesso di un ID univoco identificativo. Questo requisito include anche la protezione dei luoghi fisici preposti alla archiviazione ed elaborazione dei dati dei titolari delle carte, anche attraverso l’installazione di allarmi, sistemi di sorveglianza e controllo dell’identità delle persone che vi accedono (sia dipendenti che visitatori)
  • l’esecuzione su base regolare di test sulla sicurezza delle reti, degli archivi dei dati dei titolari delle carte e dei processi di protezione
  • il ricorso a specifici criteri per la protezione delle informazioni che vengono comunicate a dipendenti, fornitori e terze parti in possesso dei dati dei titolari delle carte