PCI DSS
Il PCI DSS (Payment Card Industry Data Security Standard) è uno standard di sicurezza per la protezione dei dati delle carte di credito che tutte le aziende che elaborano, memorizzano o trasmettono dati delle carte devono rispettare.
PCI DSS
Il PCI DSS (Payment Card Industry Data Security Standard) è uno standard di sicurezza istituito dai cinque principali circuiti di carte di pagamento (Visa, Mastercard, AMEX, Discover, JCB). Definisce i requisiti obbligatori per tutte le aziende che elaborano, memorizzano o trasmettono i dati delle carte di credito.
Lo standard comprende 12 requisiti principali suddivisi in sei aree: sicurezza della rete, protezione dei dati, gestione delle vulnerabilità, controllo degli accessi, monitoraggio e politiche di sicurezza. La conformità viene dimostrata tramite audit annuali o questionari di autovalutazione (SAQ).
Per la maggior parte degli esercenti online, l'utilizzo di un PSP certificato PCI-DSS riduce notevolmente l'onere di conformità: se i dati della carta vengono elaborati tramite un Hosted Checkout o un modulo di pagamento tokenizzato, i dati sensibili non toccano mai direttamente il sistema dell'esercente.
Esempi PCI DSS
Un negozio online utilizza l'hosted checkout del suo PSP. I dati delle carte non vengono mai memorizzati sul server del negozio — l'onere di conformità PCI-DSS è minimo.
Un grande rivenditore elabora i dati delle carte sul proprio sistema e deve superare ogni anno un audit PCI-DSS da parte di un Qualified Security Assessor (QSA).
Un PSP tokenizza i dati delle carte: invece del numero di carta reale, viene memorizzato un token che è privo di valore per i truffatori.
FAQ PCI DSS
Che cos'è il PCI DSS?
PCI DSS è lo standard di sicurezza del settore delle carte di credito. Definisce i requisiti per tutte le aziende che elaborano, memorizzano o trasmettono i dati delle carte di credito — per proteggerli dalla perdita di dati e dalle frodi.
Come Esercente devi essere conforme allo standard PCI DSS?
Sì, in linea di principio ogni azienda che accetta pagamenti con carta deve essere conforme allo standard PCI DSS. Per la maggior parte degli esercenti online, tuttavia, l'impegno si riduce notevolmente se utilizzano un PSP certificato PCI DSS con Hosted Checkout.
Che cos'è la tokenizzazione nel contesto di PCI DSS?
La tokenizzazione sostituisce il numero di carta reale con un token, ovvero un valore casuale privo di valore per i truffatori. Il token può essere utilizzato per le transazioni successive senza dover memorizzare i dati reali della carta.
Cosa succede in caso di violazione del PCI DSS?
Le violazioni possono comportare sanzioni pecuniarie da parte dei circuiti delle carte, un aumento delle commissioni di transazione, la perdita dell'accettazione delle carte e, nel peggiore dei casi, richieste di perdita di dati, a richieste di risarcimento danni.
