PCI DSS
Il PCI DSS (Payment Card Industry Data Security Standard) è uno standard di sicurezza creato dai cinque principali circuiti di carte di credito (Visa, Mastercard, AMEX, Discover, JCB). Definisce i requisiti obbligatori per tutte le aziende che elaborano, memorizzano o trasmettono i dati delle carte di credito.
Lo standard comprende 12 requisiti principali suddivisi in sei aree: sicurezza della rete, protezione dei dati, gestione delle vulnerabilità, controllo degli accessi, monitoraggio e politiche di sicurezza. La conformità viene dimostrata attraverso audit annuali o valutazioni di autovalutazione (SAQ).
Per la maggior parte degli Esercenti online, l'utilizzo di un PSP certificato PCI-DSS riduce notevolmente l'impegno di conformità richiesto: se i dati della carta vengono elaborati tramite un checkout ospitato o un modulo di pagamento tokenizzato, i dati sensibili non toccano mai direttamente il sistema dell'Esercente.
Esempi PCI DSS
Un negozio online utilizza l'Hosted Checkout del suo PSP. I dati delle carte non vengono mai memorizzati sul server del negozio — l'onere per la conformità PCI DSS è minimo.
Un grande rivenditore elabora i dati delle carte nel proprio sistema e deve superare annualmente un audit PCI DSS da parte di un Qualified Security Assessor (QSA).
Un PSP tokenizza i dati delle carte: al posto del numero di carta reale, viene memorizzato un token che è privo di valore per i truffatori.
FAQ PCI DSS
Cos'è il PCI DSS?
PCI DSS è lo standard di sicurezza del settore delle carte di credito. Definisce i requisiti per tutte le aziende che elaborano, memorizzano o trasmettono i dati delle carte di credito — per proteggere dalla perdita di dati e dalle frodi.
Devi rispettare lo standard PCI DSS in quanto Esercente?
Su00ec, in linea di principio ogni azienda che accetta pagamenti con carta deve essere conforme al PCI DSS. Per la maggior parte degli Esercenti online, tuttavia, l'onere si riduce notevolmente se utilizzano un PSP certificato PCI DSS con Hosted Checkout.
Che cos'è la tokenizzazione nel contesto dello standard PCI DSS?
La tokenizzazione sostituisce il numero reale della carta con un token, ovvero un valore casuale che non ha alcun valore per i truffatori. Il token può essere utilizzato per le transazioni successive senza dover memorizzare i dati reali della carta.
Cosa succede in caso di violazione del PCI-DSS?
Le violazioni possono comportare sanzioni finanziarie da parte dei circuiti delle carte di credito, un aumento delle commissioni di transazione, la perdita dell'accettazione delle carte e, nel peggiore dei casi, richieste di risarcimento danni in caso di perdita di dati.
