Nonostante dal 2008 ad oggi l’utilizzo della carta di credito come metodo di pagamento di beni e servizi abbia subito un netto calo a causa della crisi economico-finanziaria, il volume delle transazioni ha registrato in Italia, sempre nel 2008, un trend in ascesa con un volume pari a 56 miliardi di euro
Difficile reperire dati precisi sui volumi generati a livello mondiale, ma l’esempio dell’Italia, paese nel quale la carta di credito viene utilizzata meno di quanto lo sia in Europa e in gran parte del resto del mondo, rende idea di quanto movimento di denaro sia legato a questo metodo di pagamento.
Non c’è da stupirsi quindi se anche il numero di frodi, legate a carte di credito, sia molto alto e causi consistenti perdite di denaro a privati e istituti finanziari.
Gli esempi sono molti, ma il caso forse più eclatante è il furto di 130 milioni di carte di credito ad opera di un ventottenne di Miami assieme a due hacker russi
Esiste dunque un problema di tutela e riservatezza delle carte di credito, che interessa l’utilizzatore finale e tutte le organizzazioni che ne gestiscono i dati.
Chi si è fatto carico di questa problematica?
Nel 2006, i principali circuiti di pagamento (American Express, Discover Financial Services, JCB, MasterCard Worldwide and Visa International) hanno creato il consorzio PCI SSC (Payment Card Industry Security Standards Council), il quale ha definito tre standard di sicurezza (PCI Security Standards) e ha come mission l’evoluzione nel tempo, la formazione e la sensibilizzazione su di essi: Data Security Standard (DSS), Payment Application Data Security Standard (PA-DSS), Pin-Entry Device (PED).
Quali gli strumenti adottati?
Il PCI DSS, in particolare, ha un ruolo di primo piano, in quanto stabilisce i principi e i requisiti essenziali per la sicurezza dei dati dei titolari di carta di credito (cardholder data).
Nella documentazione fornita a supporto sul sito del PCI SSC viene anche meglio indicato quali sono i “cardholder data” da proteggere. In particolare, Il PAN (Primary Account Number) cioè il numero di carta con 16 cifre, è il fattore determinante nell’applicabilità dei requisiti PCI DSS e degli standard PA-DSS. Se il PAN non viene memorizzato, elaborato o trasmesso, gli standard PCI DSS e PA-DSS non sono applicabili.
Chi è, in concreto, interessato da questo standard?
Qualunque operatore di business (esercenti , fornitori di servizi, istituti finanziari) che memorizza, elabora o trasmette “cardholder data” deve, come obbligo contrattuale, essere conforme (compliant) ai requisiti indicati nel PCI DSS.
Cosa si rischia?
In caso di mancata conformità si rischia la revoca dell’autorizzazione (da parte dei circuiti interessati) a gestire “cardholder data” o, in caso di furto o perdita di dati, multe di entità proporzionali al danno.
In cosa consiste il PCI DSS?
In sintesi, la struttura del PCI DSS consiste in 12 requisiti raggruppati in 6 categorie:
Categoria 1: Sviluppo e gestione di una rete sicura
- Requisito 1: Installare e gestire una configurazione firewall per proteggere i dati di titolari di carta
- Requisito 2: Non utilizzare valori predefiniti del fornitore per le password di sistema e altri parametri di sicurezza
Categoria 2: Protezione dei dati di titolari di carta
- Requisito 3: Proteggere i dati di titolari di carta memorizzati
- Requisito 4: Cifrare i dati di titolari di carta trasmessi su reti aperte e pubbliche
Categoria 3: Utilizzare un programma per la gestione delle vulnerabilità
- Requisito 5: Utilizzare e aggiornare regolarmente il software antivirus
- Requisito 6: Sviluppare e gestire sistemi e applicazioni protette
Categoria 4: Implementazione di rigide misure di controllo dell’accesso
- Requisito 7: Limitare l’accesso ai dati di titolari di carta solo se effettivamente necessario
- Requisito 8: Assegnare un ID univoco a chiunque abbia accesso a un computer
- Requisito 9: Limitare l’accesso fisico ai dati di titolari di carta
Categoria 5: Monitoraggio e test delle reti regolari
- Requisito 10: Registrare e monitorare tutti gli accessi a risorse di rete e dati di titolari di carta
- Requisito 11: Eseguire regolarmente test dei sistemi e processi di protezione
Categoria 6: Gestire una politica di sicurezza delle informazioni
- Requisito 12: Gestire una politica che garantisca la sicurezza delle informazioni
Come avrete intuito il tema è complesso. Nei prossimi articoli approfondiremo questi ed altri aspetti relativi alla verifica della conformità del PCI DSS.
Pingback: Certificazione PCI DSS: verifica della conformità « Hce Web Design Blog