Conformità PCI
La conformità del settore delle carte di pagamento (PCI) si riferisce agli standard tecnici e operativi che le aziende devono seguire per garantire che i dati delle carte di credito forniti dai titolari delle carte siano protetti. Il PCI Standards Council impone la conformità PCI e tutte le aziende che archiviano, elaborano o trasmettono elettronicamente i dati delle carte di credito sono tenute a seguire le linee guida di conformità.
RIPARTIZIONE Conformità PCI
Gli standard di conformità del settore delle carte di pagamento (PCI) impongono ai commercianti e ad altre aziende di gestire le informazioni sulle carte di credito in modo sicuro, contribuendo a ridurre la probabilità che i titolari di carte vengano rubati dati finanziari sensibili. Se i commercianti non gestiscono correttamente i dati della carta di credito, i dati della carta potrebbero essere hackerati e utilizzati per effettuare acquisti fraudolenti. Inoltre, informazioni fraudolente sul titolare della carta potrebbero essere utilizzate nella frode di identità.
Essere conformi PCI significa costantemente aderire a una serie di linee guida stabilite dalle aziende che emettono carte di credito. Le linee guida delineano una serie di passaggi che i processori di carte di credito devono seguire continuamente. Le aziende sono prima invitate a valutare la propria infrastruttura informatica, i processi aziendali e le procedure di gestione delle carte di credito per identificare potenziali minacce che potrebbero compromettere i dati delle carte di credito. Le società sono quindi invitate a colmare eventuali lacune in termini di sicurezza ed evitare, ove possibile, di archiviare informazioni riservate sui titolari di carta, come la sicurezza sociale e i numeri di patente di guida. Le aziende sono tenute a fornire rapporti di conformità ai marchi di carte con cui lavorano, come American Express e VISA.
Tutte le società che elaborano le informazioni sulle carte di credito sono tenute a mantenere la conformità PCI, indipendentemente dalle loro dimensioni o dal numero di transazioni con carta di credito che elaborano. Tutte le società sono suddivise in livelli commerciante in base al numero di transazioni che vengono elaborate durante un periodo specificato. La conformità PCI è regolata dal Payment Standard Industry Security Standards Council, un'organizzazione costituita nel 2006 allo scopo di gestire la sicurezza delle carte di credito. I requisiti, noti come PCI DSS (Payment Card Industry Data Security Standards), sono gestiti dalle principali società di carte di credito, tra cui VISA, American Express, Discover e MasterCard, tra gli altri.
Conformità PCI e violazioni dei dati
Molte delle maggiori violazioni dei dati della storia potrebbero essere state evitate se i commercianti o gli istituti finanziari interessati fossero conformi a PCI. Ecco alcuni punti chiave del Verizon 2017 Payment Security Report, uno studio approfondito sulla conformità PCI DSS:
- Le organizzazioni di vendita al dettaglio hanno dimostrato la più bassa sostenibilità di conformità PCI in tutti i settori chiave.
- Il settore dei servizi IT ha raggiunto la massima piena conformità di tutti i principali gruppi industriali studiati.
- Il 77 percento delle aziende valutate dopo una violazione dei dati non era conforme al requisito PCI numero uno: installare e mantenere una configurazione del firewall.
- Lo studio mostra una correlazione "dimostrabile" tra le imprese aggiornate sugli standard PCI e le imprese che si sono difese con successo contro le minacce informatiche.
- Il numero di aziende conformi al 100% con PCI sta crescendo considerevolmente su base annua.