.
Non c’è eCommerce senza carte di credito, o quasi: ma come garantire la sicurezza dei dati e delle transazioni? Come contrastare il rischio di frodi? La certificazione PCI DSS è lo standard che regola la gestione dei pagamenti attraverso carte di credito. Effettuare transazioni attraverso un sistema certificato offre agli utenti garanzia della migliore sicurezza possibile.
Il Payment Card Industry Security Standards Council, PCI SSC, è il consiglio per la sicurezza dei cardholder data creato dai grandi nomi del settore. Si tratta di uno standard che raccoglie i principali attori del settore delle carte di credito e fintech. Negli anni ha emesso varie normative per la messa in sicurezza dei pagamenti elettronici; la più nota è il Payment Card Industry Data Security Standard (PCI DSS), spesso identificato semplicemente come standard PCI DSS, rivolto a venditori e operatori che gestiscono dati di carte di credito nel corso delle loro transazioni.
Come funziona la certificazione PCI DSS
Come abbiamo visto, il Payment Card Industry Data Security Standard è un requisito fondamentale per salvaguardare dati sensibili e informazioni sulle transazioni. Questo standard non sostituisce gli adempimenti legali, per esempio quelli richiesti dalle certificazioni ISO 27000, ma costituisce un ulteriore layer di sicurezza che garantisce agli utenti finali l’osservazione delle buone pratiche riconosciute da tutti i principali attori del settore.
I passaggi tecnici e amministrativi per ottenere la certificazione PCI DSS introducono alcuni livelli di complessità, come spiegato per esempio in questo paper riferito alla versione 3.2.1. CryptoNet Labs può supportare le aziende in tutte le fasi del processo, dalle analisi iniziali alle implementazioni, nonché al rilascio delle certificazioni laddove richiesto.
Come avviene
Come prima cosa, i tecnici e gli specialisti di CryptoNet Labs procedono con una analisi della situazione. Questo processo, chiamato PCI DSS Audit, è necessario per determinare lo stato attuale della sicurezza delle transazioni all’interno dell’azienda, quali implementazioni sono già presenti, quali devono essere migliorate e quali costruite da zero. Terminata questa prima fase, è possibile procedere con i passaggi necessari per ottenere la certificazione.
CryptoNet Labs, accreditata come Qualified Security Assessor dal PCI SSC, è abilitata a supportare e certificare le aziende nel processo di compliance con una proposta modulare.
In particolare l’intervento dei consulenti di CryptoNet Labs prevede:
- individuazione del perimetro di applicazione dello standard (CDE o cardholder data environment);
- verifica della situazione di partenza e definizione del piano di adeguamento (gap analysis);
- consulenze di carattere organizzativo e tecnologico per implementare quanto richiesto e comprendere le novità introdotte da nuove versioni dello standard;
- affiancamento del cliente nel processo di autocertificazione tramite il Self Assessment Questionnaire (SAQ) più adatto ai suoi processi di pagamento;
- esecuzione della visita di certificazione (onsite audit) per le entità che non possono o non desiderano ricorrere all’autocertificazione, compilazione del Report on Compliance (RoC) e dell’Attestation of Compliance (AoC);
- esecuzione degli audit, dei vulnerability assessment e dei penetration test richiesti per il rilascio della certificazione;
- formazione dedicata;
- supporto per l’iscrizione nelle liste dei service provider accreditati dai vari payment brand.
CryptoNet Labs può offrire anche servizi di consulenza su PCI DSS per le aziende che dispongano già di una certificazione, oppure che la vogliano ottenere e dispongano di personale interno con le skill tecniche e gestionali necessarie.
Chi ne può beneficiare
La certificazione PCI DSS è un asset strategico per merchant e service provider che trattano dati di carte di credito o offrono servizi che necessitano di certificazione, oppure per le enterprise che intendano avviare un processo di compliance interamente in house. CryptoNet Labs offre un percorso modulare e snello che comprende tutte le attività necessarie.