Che cos'è la conformità PCI e devo essere conforme a PCI?

Conformità PCI: che cos'è?

Le società di carte di credito devono aderire alla conformità PCI per proteggere la sicurezza delle transazioni con carta di credito nel sistema finanziario. La conformità del settore delle carte di pagamento si riferisce ai requisiti tecnici e operativi delle aziende per salvaguardare e preservare i dati dei titolari di carta forniti durante le operazioni di elaborazione delle carte. Il PCI Security Standards Council sviluppa e gestisce gli standard di conformità PCI.

Comprensione della conformità PCI

L'elaborazione delle carte di credito è regolata dalla Federal Trade Commission (FTC) poiché rientra nella protezione e regolamentazione dei consumatori. Sebbene non vi sia alcun obbligo legislativo per la conformità PCI, è considerato obbligatorio in base a precedenti giudiziari.

La conformità PCI, in generale, è una componente fondamentale del processo di sicurezza di ogni società di carte di credito. Le società di carte di credito spesso lo richiedono ed è menzionato negli accordi di rete di carte di credito.

Il PCI Requirements Council è responsabile dello sviluppo degli standard di conformità PCI. Questi standard si applicano all'elaborazione del commerciante e sono stati migliorati per includere i requisiti per le transazioni Internet crittografate. Altre istituzioni significative coinvolte nel processo di definizione degli standard del settore delle carte di credito sono la Card Association Network e la National Automated Clearing House (NACHA).

Cosa succede se non sono conforme allo standard PCI?

Sebbene la conformità PCI sia obbligatoria, alcuni proprietari di aziende si chiedono se possano evitare gli standard: questa è un'idea non etica e forse disastrosa. Se non sei conforme allo standard PCI, stai mettendo a rischio la sicurezza dei tuoi consumatori e della tua azienda. Senza le garanzie fornite dalla conformità PCI, la tua azienda potrebbe essere esposta a costosi attacchi e violazioni dei dati.

Se si verifica una violazione dei dati e la tua organizzazione non è conforme allo standard PCI, potresti essere soggetto a sanzioni e multe che vanno da $ 5.000 a $ 500.000. Tuttavia, le sanzioni sono solo l'inizio del danno inflitto dall'inosservanza. Se non sei conforme allo standard PCI, rischi di perdere il tuo account commerciante, impedendoti di accettare del tutto pagamenti con carta di credito. Inoltre, la tua azienda potrebbe essere inclusa nell'elenco Member Alert to Control High Risk Merchants (MATCH), rendendoti non idoneo per molti anni a creare un nuovo account commerciante.

Inoltre, una violazione dei dati potrebbe comportare danni per migliaia di dollari, una perdita di rispetto e fiducia dei consumatori e una perdita del tuo marchio. A causa della gamma di sanzioni associate alla non conformità PCI, è sempre opportuno essere il più completamente conformi possibile per evitare multe costose e altri danni.

Quali sono i 12 requisiti per la conformità PCI DSS?

Installa e mantieni i firewall

I firewall negano efficacemente l'accesso ai dati privati ​​a organizzazioni esterne o sconosciute. Queste precauzioni sono spesso la prima linea di protezione contro gli hacker (dannosi o meno). A causa della loro capacità di prevenire l'accesso non autorizzato, i firewall sono necessari per la conformità PCI DSS.

Protezione con password efficace

Router, modem, sistemi per punti vendita (POS) e altri beni di terze parti spesso includono password generiche e meccanismi di sicurezza facilmente accessibili al pubblico. Le aziende spesso non riescono a proteggere queste vulnerabilità. Il mantenimento della conformità in quest'area implica il mantenimento di un elenco di tutti i dispositivi e le applicazioni protetti da password (o altra sicurezza per l'accesso). Con un inventario dispositivo/password, è necessario implementare la protezione e le impostazioni essenziali (ad esempio, cambiare la password).

Proteggi i dati del titolare della carta

Il terzo obbligo di conformità PCI DSS consiste nel proteggere i dati dei titolari di carta in due modi. I dati dei titolari di carta devono essere crittografati utilizzando un particolare algoritmo. Queste crittografie vengono implementate utilizzando chiavi di crittografia, che devono essere crittografate allo stesso modo ai fini della conformità. È necessario mantenere e scansionare regolarmente i numeri di conto principale (PAN) per verificare che non esistano dati non crittografati.

Crittografa i dati trasmessi

I dati dei titolari di carta vengono inviati attraverso vari percorsi convenzionali (ad esempio, processori di pagamento, uffici domestici da negozi locali, ecc.). Quando questi dati vengono trasferiti a queste destinazioni note, devono essere crittografati. Inoltre, i numeri di conto non dovrebbero mai essere forniti a siti sconosciuti.

Usa e mantieni l'antivirus

Al di fuori della conformità PCI DSS, l'utilizzo di software antivirus è una pratica intelligente. Tutti i dispositivi che interagiscono con e memorizzano PAN, tuttavia, devono disporre di un software antivirus installato. Questo software dovrebbe essere patchato e aggiornato regolarmente. Inoltre, il fornitore del punto vendita dovrebbe utilizzare la protezione antivirus nelle aree in cui non può essere implementata direttamente.

Software aggiornato

I firewall e il software antivirus dovranno essere aggiornati regolarmente. Inoltre, è consigliabile mantenere aggiornato tutto il software di un'azienda. La maggior parte dei programmi software incorpora misure di sicurezza, come patch per affrontare le vulnerabilità appena identificate, come parte dei loro aggiornamenti, fornendo un ulteriore livello di protezione. Questi aggiornamenti sono significativi per qualsiasi software in esecuzione su dispositivi che interagiscono o archiviano i dati dei titolari di carta.

Limita l'accesso ai dati

Le informazioni sul titolare della carta devono essere strettamente "necessità di sapere". A tutti i dipendenti, dirigenti e terze parti che non necessitano di queste informazioni dovrebbe essere negato l'accesso. Le responsabilità che richiedono dati sensibili dovrebbero essere ben documentate e aggiornate regolarmente, come richiesto da PCI DSS.

Codici di accesso univoci

I dipendenti che hanno accesso ai dati dei titolari di carta devono essere identificati e ciascuno deve disporre di credenziali separate. Ad esempio, i dati crittografati non dovrebbero essere accessibili tramite un unico accesso, con diversi lavoratori che conoscono il nome utente e la password. Gli identificatori univoci riducono la suscettibilità e garantiscono tempi di reazione più rapidi se i dati vengono compromessi.

Limita l'accesso a livello fisico

Tutti i dati sui titolari di carta devono essere fisicamente archiviati in un'area sicura. I dati scritti o digitati fisicamente ei dati archiviati digitalmente (ad es. su un disco rigido) devono essere protetti in una stanza sicura, in un cassetto o in un armadio. Non solo l'accesso dovrebbe essere limitato, ma ogni volta che si accede a dati sensibili, dovrebbe essere conservato un registro per garantire la conformità.

Gestisci i registri di accesso

Tutte le transazioni che coinvolgono dati di titolari di carta e numeri di conto primario (PAN) devono essere registrate. Forse la preoccupazione più diffusa per la non conformità è la mancanza di una sufficiente conservazione dei registri e della documentazione per l'accesso ai dati sensibili. La conformità richiede il monitoraggio del flusso di dati che entrano nella tua azienda e la frequenza con cui è richiesto l'accesso. Inoltre, per garantire l'accuratezza sono necessari strumenti software che tengono traccia dell'accesso.

Scansione e test delle vulnerabilità

Ciascuno dei precedenti dieci criteri di conformità richiede l'uso di molti prodotti software, sedi fisiche e personale. Numerosi articoli potrebbero non funzionare correttamente, diventare obsoleti o essere soggetti a errori umani. Possiamo mitigare questi rischi aderendo ai criteri PCI DSS per scansioni regolari e test di vulnerabilità.

Politiche relative ai documenti

La conformità richiederà la documentazione delle apparecchiature, del software e dei lavoratori che hanno accesso. Inoltre, i record di accesso ai dati dei titolari di carta richiedono documentazione. Sarà inoltre necessario registrare come le informazioni entrano nella tua attività, dove sono detenute e utilizzate oltre il punto vendita.

Vantaggi della conformità PCI

I vantaggi della conformità includono un minor rischio di violazione dei dati, la protezione dei dati dei titolari di carta e l'elusione del furto di identità. La conformità è una best practice per le aziende perché riduce al minimo le sanzioni associate alle violazioni dei dati, avvantaggia la reputazione del marchio di un'azienda e garantisce che i consumatori siano soddisfatti e sicuri di fare affari con un'azienda responsabile, con conseguente fedeltà al marchio.

Tutte le aziende che accettano i dati delle carte di credito sono obbligate in base ai loro accordi di elaborazione delle carte a mantenere la conformità PCI. La conformità PCI è lo standard del settore e le aziende che non vi aderiscono rischiano di incorrere in sanzioni significative per violazioni contrattuali e negligenza. Le aziende che non sono conformi allo standard PCI sono anche molto esposte a furti, frodi e violazioni dei dati.

A Fixed.net consigliamo vivamente di non toccare mai i dati della carta . Ciò significa, utilizzare un provider come Stripe o Braintree in cui i dati della carta sono tokenizzati. I dati della carta non vengono memorizzati da te e non vengono nemmeno visualizzati da te. Un cliente inserisce i dettagli utilizzando un widget incorporato dal sito Web del fornitore di servizi di pagamento.

Conformità PCI e WordPress

WordPress è un software open source e non ha un sistema di pagamento integrato. Invece, i sistemi di pagamento sono in bundle con plugin come WooCommerce. Questi plugin di solito hanno la capacità di associare gateway di terze parti come Stripe. Se si sceglie un gateway in cui non si toccano i dati della scheda, non è necessario essere PCI Compliant.

Conformità PCI e WooCommerce

WooCommerce viene fornito con una serie di opzioni di pagamento in bundle e puoi estenderlo con plug-in di terze parti. Entriamo nelle opzioni di pagamento in varie altre guide su questo blog. Tuttavia, la stragrande maggioranza degli abbonati fissi tende a utilizzare una combinazione di Stripe e PayPal.