Le basi della conformità PCI: cosa devi sapere

Le informazioni sulla carta di credito sono il tipo di dati più prezioso per i criminali informatici poiché questi set di dati valgono milioni di dollari nel mercato nero.

Oggi, aziende di tutte le dimensioni elaborano i dati delle carte di credito e di debito dei clienti e ricevono pagamenti con carta di credito. Ogni azienda che elabora, archivia e trasmette dati finanziari è sotto il radar di malintenzionati e affronta i maggiori rischi di attacco informatico.

Per questi motivi, le principali società di carte di credito hanno creato lo standard PCI per fornire linee guida di sicurezza alle aziende per proteggere i dati finanziari dei clienti. In questo articolo, esamineremo le basi della conformità PCI.

Iniziamo spiegando ulteriormente la conformità PCI DSS.

Che cos'è la conformità PCI DSS?

Payment Card Industry Data Security Standard (PCI DSS) è un insieme tecnico e operativo di specifiche di sicurezza per salvaguardare i dati dei titolari di carte di credito.

La conformità PCI è stata fondata dalle principali società di carte di credito come Visa, Mastercard, American Express, Discover Financial Services e JCB Express. PCI cerca di abilitare un quadro internazionale per proteggere i dati finanziari dei clienti.

Tutte le aziende che raccolgono, archiviano e trasmettono sono soggette alla conformità PCI DSS e sono obbligate a seguire le linee guida e i requisiti di sicurezza.

PCI DSS ha quattro livelli di conformità (1,2,3,4). I livelli di conformità PCI delle aziende sono determinati in base al volume delle transazioni nell'arco di un anno. Le aziende che rientrano nel livello 4 elaborano meno di 20.000 transazioni all'anno.

Il livello 3 si applica ai commercianti che elaborano transazioni tra 20.000 e 1 milione all'anno. Il livello 2 si applica alle aziende che elaborano transazioni tra 1 e 6 milioni all'anno. Le aziende che elaborano più di 6 transazioni all'anno rientrano nel livello 1.

I requisiti PCI diventano più severi man mano che il livello passa da 4 a 1. Ma, indipendentemente dal livello di conformità, tutte le aziende sono obbligate a soddisfare tutti i requisiti PCI in una certa misura.

Il framework di gestione sicura dei dati dei titolari di carta è stabilito in sei categorie dalla conformità PCI. Le categorie dei requisiti PCI sono costituite da protezione dei dati dei titolari di carta, piano di gestione delle vulnerabilità, monitoraggio della rete, gestione sicura della rete e dei sistemi, restrizioni del controllo degli accessi e politica di sicurezza delle informazioni.

Il contenuto di queste categorie costruisce un totale di dodici fasi dei requisiti. I requisiti PCI garantiscono la sicurezza della gestione dei dati dei titolari di carta. Ecco una lista di controllo per la conformità PCI.

Requisiti PCI

1- Installare e mantenere un firewall per la protezione dei dati dei titolari di carta

Poiché i firewall sono il primo meccanismo di difesa della rete, la corretta configurazione e manutenzione di un firewall è fondamentale per proteggere i dati dei titolari di carta. I firewall sono strumenti altamente efficaci per la protezione dei dati sensibili dalle minacce informatiche perché limitano il traffico di rete e bloccano l'accesso non autorizzato. Ecco perché l'istituzione del firewall è il primo requisito.

02. Avere un'adeguata protezione tramite password

La maggior parte dei servizi di rete, dei sistemi POS e dei prodotti di terze parti sono configurati con impostazioni predefinite.

I criminali informatici possono ottenere facilmente l'accesso alle reti e ai dati sensibili se le organizzazioni non riconfigurano queste impostazioni di fabbrica poiché le password e i nomi utente predefiniti sono ampiamente conosciuti.

Oltre a modificare le impostazioni della password, le organizzazioni devono cambiare regolarmente le password di tutti i dispositivi e software che ne richiedono una.

03. Proteggi i dati dei titolari di carta memorizzati

Tutti i dati dei titolari di carta memorizzati devono essere crittografati. I commercianti devono garantire la protezione di questi dati sensibili tramite chiavi crittografiche e algoritmi ed eseguire scansioni regolari.

04. Crittografare i dati trasmessi dai titolari di carta

Mantenere la sicurezza dei dati dei titolari di carta è il requisito più importante per la conformità PCI. Pertanto, i commercianti devono anche crittografare e proteggere la trasmissione dei dati dei titolari di carta su reti pubbliche.

05. Utilizza un software antivirus

Avere un software antivirus è una necessità per la protezione dei dati contro il malware. Pertanto, le organizzazioni devono utilizzare e aggiornare frequentemente il proprio software antivirus su tutti i dispositivi per rilevare ed eliminare qualsiasi malware.

06. Manutenzione del software e del sistema

Tutto il software e i sistemi devono essere aggiornati regolarmente per correggere le vulnerabilità della sicurezza. Tieni presente che alcuni software come database, software antivirus e firewall richiedono aggiornamenti più frequenti.

07. Limitare l'accesso ai dati

Solo il personale autorizzato dovrebbe avere accesso ai dati dei titolari di carta quando necessario. Terze parti e membri del personale non dovrebbero avere accesso a informazioni sensibili.

08. Identificazione univoca per l'accesso dell'utente

A ciascun utente autorizzato che ha accesso ai dati dei titolari di carta deve essere fornito un set univoco di nomi utente e password. Le credenziali di accesso degli utenti garantiscono la responsabilità e riducono i tempi di risposta.

09. Limitare l'accesso fisico

Anche l'accesso fisico deve essere limitato tanto quanto l'accesso digitale per salvaguardare i dati sensibili. Le organizzazioni devono archiviare i dati dei titolari di carta in un luogo fisicamente sicuro e applicare severi controlli e autorizzazioni.

10- Traccia e monitora l'accesso alla rete

Tutto l'accesso alla rete e il traffico devono essere tracciati e monitorati quando si tratta di dati dei titolari di carta e numeri di conto primari. I registri di accesso che coinvolgono i dati dei titolari di carta devono essere mantenuti e rivisti continuamente.

11- Valutazione periodica dei sistemi di sicurezza

Dovrebbero essere condotte valutazioni periodiche del sistema di sicurezza e test di penetrazione per determinare e correggere le vulnerabilità della sicurezza. Questa procedura garantisce di determinare lo stato attuale dei sistemi di sicurezza e di migliorarlo di conseguenza.

12- Mantenere una politica di sicurezza informatica

Tutti i requisiti PCI devono essere affrontati e documentati con una politica di sicurezza informatica. Mantenendo una politica di sicurezza informatica, le organizzazioni possono garantire la conformità e la sicurezza delle proprie reti.

Conseguenze del mancato rispetto del PCI DSS

Il mancato rispetto del PCI DSS può comportare multe e sanzioni elevate. A seconda della gravità e della durata delle violazioni, le autorità PCI possono applicare multe comprese tra $ 5000 e $ 100.000 al mese.

Le multe potrebbero aumentare su base mensile man mano che la durata della violazione si allunga. Inoltre, dopo incidenti di violazione dei dati, le aziende possono essere obbligate a coprire tutti i costi di riemissione e riparazione.

Oltre a questi, il mancato rispetto di PCI può comportare sanzioni aggiuntive come un aumento delle commissioni di transazione e la perdita dei commercianti di pagamenti con carta di credito per un po 'di tempo o in modo permanente. Soddisfare i requisiti PCI è fondamentale per evitare sanzioni e proteggere i dati finanziari riservati dei clienti.

Ultime parole

I dati finanziari dei clienti devono essere sempre protetti dagli attacchi informatici.

La conformità allo standard PCI DSS (Payment Card Industry Data Security Standard) può aiutare le aziende a proteggere i set di dati finanziari che vengono elaborati, archiviati e trasmessi.

In un'era in cui i rischi informatici, le multe per la conformità e le sanzioni sono così elevate, ogni azienda soggetta a PCI dovrebbe soddisfare i propri requisiti e diventare conforme a PCI.