PCI DSS
Il PCI DSS (Payment Card Industry Data Security Standard) è uno standard di sicurezza per la protezione dei dati delle carte di credito che tutte le aziende che elaborano, memorizzano o trasmettono i dati delle carte devono rispettare.
PCI DSS
PCI DSS (Payment Card Industry Data Security Standard) è uno standard di sicurezza creato dai cinque principali circuiti di carte (Visa, Mastercard, AMEX, Discover, JCB). Definisce i requisiti obbligatori per tutte le aziende che elaborano, memorizzano o trasmettono i dati delle carte di credito.
Lo standard comprende 12 requisiti principali in sei aree: sicurezza della rete, protezione dei dati, gestione delle vulnerabilità, controllo degli accessi, monitoraggio e politiche di sicurezza. La conformità viene dimostrata attraverso audit annuali o valutazioni di autovalutazione (SAQ).
Per la maggior parte degli esercenti online, l'utilizzo di un PSP certificato PCI DSS riduce notevolmente l'impegno di conformità: se i dati della carta vengono elaborati tramite un Hosted Checkout o un modulo di pagamento tokenizzato, i dati sensibili non toccano mai direttamente il sistema dell'esercente.
Esempi di PCI DSS
Un negozio online utilizza l'Hosted Checkout del suo PSP. I dati della carta non vengono mai memorizzati sul server del negozio — lo sforzo di conformità PCI-DSS è minimo.
Un grande rivenditore elabora i dati della carta nel proprio sistema e deve superare annualmente un audit PCI-DSS da parte di un Qualified Security Assessor (QSA).
Un PSP tokenizza i dati della carta: invece del numero di carta reale, viene memorizzato un token, che è privo di valore per i truffatori.
Domande frequenti sul PCI DSS
Che cos'è il PCI DSS?
PCI DSS è lo standard di sicurezza del settore delle carte di credito. Definisce i requisiti per tutte le aziende che elaborano, memorizzano o trasmettono i dati delle carte di credito — per proteggere dalla perdita di dati e dalle frodi.
Come Esercente, devi rispettare lo standard PCI DSS?
Sì, in linea di principio ogni azienda che accetta pagamenti con carta deve essere conforme allo standard PCI DSS. Per la maggior parte degli Esercenti online, tuttavia, l'impegno si riduce notevolmente se utilizzano un PSP certificato PCI-DSS con Hosted Checkout.
Cos'è la tokenizzazione nel contesto del PCI DSS?
La tokenizzazione sostituisce il vero numero di carta con un token, un valore casuale che non ha alcun valore per i truffatori. Il token può essere utilizzato per le transazioni successive senza dover memorizzare i dati reali della carta.
Cosa succede in caso di violazione del PCI-DSS?
Le violazioni possono comportare sanzioni da parte dei circuiti della carta, l'aumento delle commissioni di transazione, l'interruzione dell'accettazione della carta e, nel peggiore dei casi, richieste di risarcimento danni in caso di perdita dei dati.
