Il PCI DSS (Payment Card Industry Data Security Standard) è un insieme di linee guida e best practice fornite a tutte le aziende e altre entità che elaborano, trasmettono o archiviano i dati delle carte di credito. Queste linee guida sono state sviluppate dal PCI Security Standards Council (PCI SSC) e hanno lo scopo di prevenire perdite di dati e conseguente furto di identità e frodi con carta di credito. Ci sono tre fasi in corso coinvolte nel rispetto del PCI DSS: valutazione dei processi aziendali e identificazione dei rischi potenziali, correzione di tali rischi e comunicazione degli sforzi di conformità alle banche rilevanti e ad altri emittenti di carte di credito.
Fondamentale nella sicurezza dei dati del settore delle carte di pagamento La conformità standard è la creazione e la manutenzione di una rete di computer sicura. È necessario creare un firewall affidabile tra i dati dei titolari di carta e l’accesso esterno alla rete. Le password di sistema devono essere implementate insieme ad altre misure di sicurezza in ogni potenziale punto di vulnerabilità della rete. Tutti i dati dei titolari di carta devono essere archiviati in modo sicuro e, quando trasmessi attraverso reti pubbliche, devono essere crittografati. Le misure in corso comprendono l’uso di software antivirus e l’accesso fisico o informatico limitato ai dati da parte del personale in base alle esigenze aziendali.
Esistono numerosi strumenti e servizi disponibili per aiutare le organizzazioni a gestire PCI DSS. Mentre PCI SSC stabilisce gli standard per la conformità PCI, tutti i principali marchi di carte di credito hanno creato i propri standard per quanto riguarda l’applicazione e la conformità di tali standard, nonché le procedure di convalida della carta di credito. Ognuna di queste società offre assistenza online e di altro tipo alle organizzazioni che accettano le loro carte. PCI SSC gestisce anche un programma che approva i valutatori di sicurezza qualificati che convalidano la conformità allo standard di sicurezza dei dati del settore delle carte di pagamento. Per le organizzazioni che autovalutano la loro conformità, PCI SSC fornisce strumenti di convalida chiamati questionari di autovalutazione in diverse forme, ciascuno su misura per specifici ambienti aziendali.
Una premessa fondamentale per conformarsi allo standard di sicurezza dei dati del settore delle carte di pagamento è quella di archiviare solo i dati delle carte di credito essenziali per le esigenze dell’organizzazione. I dati memorizzati devono essere soggetti a limiti di tempo e i dati di autenticazione delle transazioni non devono mai essere memorizzati. Tutti i numeri di conto e altri dati sensibili trasmessi su reti pubbliche devono essere parzialmente mascherati.
Altre misure PCI DSS in corso includono la creazione e la manutenzione di un programma di gestione delle vulnerabilità che crea applicazioni e programmi sicuri. Sono inoltre necessari il monitoraggio di routine e i test di rete per identificare i punti deboli. Ogni organizzazione deve inoltre mantenere e distribuire una politica di sicurezza scritta a tutto il personale.