Investor's wiki
it Italiano
Navigation
Home Glossary
InvestireLe scorteObbligazioniCrittografiaFinanza personaleAnalisi fondamentaleAnalisi tecnicaCommercioSettore bancarioTasse
Disclaimer Terms of Use Privacy Policy Cookie Policy
Navigation
Home Glossary
InvestireLe scorteObbligazioniCrittografiaFinanza personaleAnalisi fondamentaleAnalisi tecnicaCommercioSettore bancarioTasse
Disclaimer Terms of Use Privacy Policy Cookie Policy

Conformità PCI

Conformità PCI
Finanza personaleCarta di creditoCarte di credito

Che cos'è la conformità PCI?

La conformità del settore delle carte di pagamento (PCI) è richiesta dalle società di carte di credito per garantire la sicurezza delle transazioni con carta di credito nel settore dei pagamenti. La conformità del settore delle carte di pagamento si riferisce agli standard tecnici e operativi che le aziende seguono per proteggere e proteggere i dati delle carte di credito forniti dai titolari delle carte e trasmessi attraverso le transazioni di elaborazione delle carte. Gli standard PCI per la conformità sono sviluppati e gestiti dal PCI Security Standards Council.

Comprensione della conformità PCI

La Federal Trade Commission (FTC) ha la responsabilità della supervisione dell'elaborazione delle carte di credito in quanto rientra nella necessità di tutela e supervisione dei consumatori. Sebbene non vi sia necessariamente un mandato normativo per la conformità PCI, è considerato obbligatorio attraverso un precedente giudiziario.

In generale, la conformità PCI è una componente fondamentale del protocollo di sicurezza di qualsiasi società di carte di credito. È generalmente richiesto dalle società di carte di credito e discusso negli accordi di rete delle carte di credito.

Il PCI Standards Council è responsabile dello sviluppo degli standard per la conformità PCI. Questi standard si applicano all'elaborazione del commerciante e sono stati anche ampliati per delineare i requisiti per le transazioni Internet crittografate . Altre entità chiave che sono anche associate alla definizione di standard nel settore delle carte di credito includono The Card Association Network e National Automated Clearing House (NACHA).

Requisiti per la conformità PCI

Gli standard di conformità PCI richiedono ai commercianti e ad altre aziende di gestire le informazioni sulle carte di credito in modo sicuro, il che aiuta a ridurre la probabilità che i titolari delle carte vengano rubati da informazioni finanziarie sensibili. Se i commercianti non gestiscono le informazioni sulla carta di credito secondo gli standard PCI, le informazioni sulla carta potrebbero essere violate e utilizzate per una moltitudine di azioni fraudolente. Inoltre, le informazioni sensibili sul titolare della carta potrebbero essere utilizzate nella frode di identità.

Essere conformi allo standard PCI significa aderire costantemente a una serie di linee guida stabilite dal PCI Standards Council. La conformità PCI è regolata dal PCI Standards Council, un'organizzazione costituita nel 2006 allo scopo di gestire la sicurezza delle carte di credito.

I requisiti sviluppati dal Consiglio sono noti come Payment Card Industry Data Security Standards (PCI DSS). PCI DSS ha 12 requisiti chiave, 78 requisiti di base e oltre 400 procedure di test. Le linee guida sono anche considerate best practices di sicurezza. I suoi 12 requisiti principali includono quanto segue:

  1. Implementare firewall per proteggere i dati

  2. Protezione con password appropriata

  3. Proteggi i dati dei titolari di carta

  4. Crittografia dei dati dei titolari di carta trasmessi

  5. Utilizzare un software antivirus

  6. Aggiorna il software e mantieni i sistemi di sicurezza

  7. Limitare l'accesso ai dati dei titolari di carta

  8. ID univoci assegnati a coloro che hanno accesso ai dati

  9. Limitare l'accesso fisico ai dati

  10. Creare e monitorare i log di accesso

  11. Testare regolarmente i sistemi di sicurezza

  12. Creare una politica che sia documentata e che possa essere seguita

La versione più recente di PCI DSS è stata rilasciata a maggio 2018 e viene denominata versione 3.2.1. Nel complesso, i sei obiettivi e i 12 requisiti delineano una serie di passaggi che gli elaboratori di carte di credito devono seguire continuamente. Le aziende devono prima valutare le loro reti e sistemi, che coinvolgono l'infrastruttura tecnologica dell'informazione, i processi aziendali e le procedure di gestione delle carte di credito.

Vantaggi della conformità PCI

La manutenzione e la valutazione costanti di eventuali lacune nella sicurezza sono anche molto importanti per evitare il furto di informazioni sensibili sui titolari di carte, come i numeri di previdenza sociale e patente, ove possibile.

Le aziende sono tenute a fornire regolarmente rapporti di conformità come parte dei loro accordi di elaborazione delle carte. Il monitoraggio, le valutazioni e gli audit degli standard di sicurezza dei dati del settore delle carte di pagamento sono tutti una parte importante del dipartimento di sicurezza di un'azienda.

Tutte le società che elaborano le informazioni sulle carte di credito sono tenute a mantenere la conformità PCI come indicato dai loro accordi di elaborazione delle carte. La conformità PCI è lo standard del settore e il business senza di essa può comportare sanzioni sostanziali per violazioni degli accordi e negligenza. Senza la conformità PCI, le aziende sono anche altamente vulnerabili a furti, frodi e violazioni dei dati.

95%

La percentuale di violazioni della sicurezza informatica causate da errori umani.

I vantaggi della conformità includono il rischio ridotto di violazione dei dati, la salvaguardia dei dati dei titolari di carta, evitando così possibilità di furto di identità. È buona norma che le aziende siano conformi in quanto riduce le multe relative alle violazioni dei dati, aiuta la reputazione del marchio di un'azienda,. mantiene i clienti felici e fiduciosi di fare affari con un'azienda responsabile, portando alla fedeltà al marchio.

Nella prima metà del 2020 sono stati 36 miliardi i record esposti a causa di violazioni dei dati. L'86% delle violazioni è stato motivato finanziariamente e con il mercato globale della sicurezza delle informazioni che dovrebbe raggiungere i 170 miliardi di dollari nel 2020, il rischio finanziario è ancora più alto. La protezione dei dati dei titolari di carta non è solo un bene per le aziende, ma è anche la cosa giusta da fare, assicurando che le persone non subiscano danni negativi o subiscano perdite finanziarie.

Conformità PCI e violazioni dei dati

La conformità PCI aiuta a evitare attività fraudolente e mitiga le violazioni dei dati. Verizon fornisce una valutazione annuale della sicurezza dei pagamenti nel suo "Verizon Payment Security Report". Il rapporto 2019 dedica un'intera sezione a PCI DSS, intitolata "Lo stato della conformità PCI DSS, 2019: e 12 requisiti chiave". Alcuni punti salienti PCI DSS del "Rapporto sulla sicurezza dei pagamenti di Verizon 2019" includono quanto segue:

  • Il 36,7% delle organizzazioni ha mantenuto attivamente i programmi PCI DSS nel 2018.

  • La regione Asia-Pacifico ha sovraperformato le Americhe, l'Europa, il Medio Oriente e l'Africa.

  • Dal punto di vista del settore, l'ospitalità è leggermente indietro rispetto ad altri settori.

Domande frequenti sulla conformità PCI

Cosa significa conforme allo standard PCI?

Conforme a PCI significa che qualsiasi azienda o organizzazione che accetta, trasmette o archivia i dati privati dei titolari di carta è conforme alle varie misure di sicurezza delineate dal PCI Security Standard Council per garantire che i dati siano mantenuti al sicuro e privati.

La conformità PCI è richiesta per legge?

Non esiste un mandato normativo che richieda la conformità PCI, ma è considerato obbligatorio attraverso un precedente giudiziario.

Come posso ottenere la conformità PCI?

Per diventare conforme a PCI, devi prima determinare quale questionario di autovalutazione devi seguire per diventare conforme. Una volta terminato il questionario, è necessario completare e conservare le prove di una scansione di vulnerabilità di passaggio con un fornitore di scansione approvato PCI SSC. La scansione si applica solo ad alcuni commercianti. Sarà quindi necessario completare l'Attestato di conformità. L'ultimo passaggio sarà inviare tutte le informazioni di cui sopra.

Chi deve essere conforme allo standard PCI?

Qualsiasi azienda o organizzazione che accetta, trasmette o archivia i dati privati dei titolari di carta.

La linea di fondo

La conformità PCI si riferisce agli standard tecnici e operativi stabiliti dal PCI Security Standards Council che le organizzazioni devono implementare e mantenere. L'obiettivo della conformità PCI è proteggere i dati dei titolari di carta e si applica a qualsiasi organizzazione che accetta, trasmette o archivia tali dati. Essere conformi a PCI è una buona pratica aziendale in quanto mette al primo posto la sicurezza dei dati dei consumatori e avvantaggia anche un'organizzazione attraverso una reputazione positiva del marchio.

Mette in risalto

  • Le aziende che seguono e raggiungono gli standard di sicurezza dei dati del settore delle carte di pagamento (PCI DSS) sono considerate conformi allo standard PCI.

  • La conformità PCI riduce le violazioni dei dati, protegge i dati dei titolari di carta, evita multe e migliora la reputazione del marchio.

  • PCI DSS ha 12 requisiti chiave, 78 requisiti di base e 400 procedure di test per garantire che le organizzazioni siano conformi allo standard PCI.

  • Il PCI Security Standards Council è responsabile dello sviluppo del PCI DSS.

  • La conformità PCI non è richiesta per legge, ma è considerata obbligatoria in sede giudiziaria.