Sicurezza delle carte di pagamento (PCI DSS)

La PCI DSS (Payment Card Industry – Data Security Standard) è lo standard internazionale che interessa i soggetti che a qualsiasi titolo memorizzano, elaborano o trasmettono il numero delle carte di credito o di debito (PAN).

I requisiti di sicurezza PCI DSS sono applicabili a tutti i componenti di sistema inclusi nell’ambiente dei dati dei titolari di carta o collegati ad esso. L’ambiente dei dati dei titolari di carta è composto da persone, processi e tecnologie che memorizzano, elaborano o trasmettono i dati dei titolari di carta o i dati sensibili di autenticazione.

Lo standard viene sviluppato dal Payment Card Industry – Security Standard Council (PCI SSC) ed è gestito dai principali brand delle carte di pagamento: VISA, MasterCard, American Express, JCB e Discovery.

Lo standard PCI DSS è costituito da 12 capitoli, raggruppabili in 6 categorie, che dettagliano più di 200 requisiti indirizzati alla gestione della sicurezza organizzativa, logica e fisica, in linea quindi con le principali best practice di settore.

GERICO Security attraverso il suo personale qualificato come QSA può supportare i Clienti:

– nella definizione del perimetro delle carte di pagamento

– supportare nelle scelte di segregazione e di riduzione dello scope PCI DSS

– supportare il cliente nella definizione della documentazione richiesta dallo standard PCI DSS

– effettuare attraverso primari partner le attività tecnologiche previste dallo standard

– effettuare l’attività di audit Level 1 con la compilazione del RoC

– effettuare l’attività di verifica e si compilazione del SaQ firmato da un QSA

Il processo di valutazione PCI DSS include il completamente delle seguenti operazioni:

  1. Confermare l’ambito della valutazione PCI DSS.
  2. Eseguire la valutazione PCI per l’ambiente, seguendo le procedure di test per ogni requisito.
  3. Compilare il rapporto applicabile per la valutazione (ad esempio, il Questionario di autovalutazione, SAQ, o il Rapporto sulla conformità, ROC) compresa la documentazione di tutti i controlli compensativi, in base alle istruzioni PCI applicabili.
  4. Completare per intero l’Attestato di conformità per i provider di servizi o per gli esercenti, come applicabile. Gli attestati di conformità sono disponibili sul sito Web PCI SSC.
  5. Inviare il questionario di autovalutazione o il rapporto sulla conformità e l’Attestato di conformità, insieme ad eventuale altra documentazione richiesta (ad esempio, i rapporti delle scansioni dei fornitori di prodotti di scansione approvati) al proprio acquirente (per gli esercenti) o al marchio di pagamento o ad altra entità richiedente (per i provider di servizi).
  6. Se richiesto, eseguire attività di correzione per soddisfare i requisiti non applicati e fornire un rapporto aggiornato.