PCI DSS
Il PCI DSS (Payment Card Industry Data Security Standard) è uno standard di sicurezza creato dai cinque principali circuiti di carte (Visa, Mastercard, AMEX, Discover, JCB). Definisce i requisiti obbligatori per tutte le aziende che elaborano, memorizzano o trasmettono dati di carte di credito.
Lo standard comprende 12 requisiti principali suddivisi in sei aree: sicurezza della rete, protezione dei dati, gestione delle vulnerabilità, controllo degli accessi, monitoraggio e politiche di sicurezza. La conformità viene dimostrata tramite audit annuali o autocertificazioni (SAQ).
Per la maggior parte degli Esercenti online, l'utilizzo di un PSP certificato PCI-DSS riduce notevolmente il proprio impegno di conformità: se i dati della carta vengono elaborati tramite un Hosted Checkout o un modulo di pagamento tokenizzato, i dati sensibili non toccano mai direttamente il sistema dell'Esercente.
Esempi di PCI DSS
Un negozio online utilizza l'Hosted Checkout del suo PSP. I dati delle carte non vengono mai memorizzati sul server del negozio — l'impegno per la conformità PCI-DSS è minimo.
Un grande rivenditore elabora i dati delle carte nel proprio sistema e deve superare annualmente un audit PCI-DSS da parte di un Qualified Security Assessor (QSA).
Un PSP tokenizza i dati delle carte: invece del numero di carta reale, viene memorizzato un token che è privo di valore per i truffatori.
FAQ PCI DSS
Che cos'è il PCI DSS?
PCI DSS è lo standard di sicurezza del settore delle carte di credito. Definisce i requisiti per tutte le aziende che elaborano, memorizzano o trasmettono i dati delle carte di credito — per proteggere dalla perdita di dati e dalle frodi.
Come Esercente devo essere conforme allo standard PCI DSS?
Sì, in linea di principio ogni azienda che accetta pagamenti con carta deve essere conforme al PCI DSS. Per la maggior parte degli Esercenti online, tuttavia, l'impegno si riduce notevolmente se utilizzano un PSP certificato PCI DSS con Hosted Checkout.
Cos'è la tokenizzazione nel contesto di PCI DSS?
La tokenizzazione sostituisce il numero reale della carta con un token, un valore casuale che non ha alcun valore per i truffatori. Il token può essere utilizzato per le transazioni successive senza dover memorizzare i dati reali della carta.
Cosa succede in caso di violazione dello standard PCI-DSS?
Le violazioni possono comportare sanzioni finanziarie da parte dei circuiti delle carte, un aumento delle commissioni di transazione, la perdita dell'accettazione delle carte e, nel peggiore dei casi, richieste di risarcimento danni in caso di perdita dei dati.
