Al giorno d’oggi, la maggior parte dei pagamenti si effettuano con carta di credito e carta di debito, sia intesi come transazioni di persona ma anche transazioni online. Molto spesso c’è sempre un po’ di remore nei confronti di quest’ultima tipologia di pagamento, in quanto si ha sempre un po’ di preoccupazione nell’inserire i dati delle proprie carte per i pagamenti da effettuare sul web. Ma, è senza ombra di dubbio che si tratti di pagamenti veloci, quindi molto utilizzati, e, per questo, è giusto che siano adeguatamente protetti. Dunque, ecco che, in tema di sicurezza, parliamo di PCI compliance, cioè Payment Card Industry, che indica l’insieme dei requisiti garantire la sicurezza e la protezione dei dati relativi al titolare della carta di pagamento.
PCI compliance: ecco a cosa serve questo standard di sicurezza
PCI, cioè Payment Card Industry, comprende tutti i requisiti fondamentali per garantire la sicurezza, la protezione dei dati, le informazioni e la privacy dei titolari di carte di pagamento. Si tratta, in sintesi, di un sistema di sicurezza messo a punto proprio dai circuiti di pagamento più noti, come American Express, Discover, JCB, Mastercard e Visa, con lo scopo di tutelare i pagamenti attraverso queste carte e prevenire il rischio di furti o clonazioni dei dati. Proprio loro figurano tra i fondatori del PCI Security Standards Council. Questo sistema è applicabile per quelle realtà che gestiscono i dati dei possessori di carte di credito o carte di debito, proprio per proteggere i consumatori e tutelarne la privacy. Questo sistema nasce proprio per garantire la tutela dei dati dei titolari di carta di credito e mettere in chiaro tutti i requisiti che si devono possedere per poter accedere a procedure, architettura di rete e software a disposizione delle aziende che gestiscono i dati di carte di credito.
PCI compliance: come viene usato
Questa certificazione, PCI, come viene rilasciata e da chi? Il consorzio autorizzato a rilasciare il PCI è il Payment Card Industry Security Standards Council, dove, come già detto è possibile trovare al suo interno i membri fondatori del PCI Security Standards Council, cioè i famosi leader nel campo delle carte di pagamento. Il PCI può essere richiesto, tramite autocertificazione, cioè compilando dei modelli appositi, oppure direttamente richiedendo la certificazione presso un’azienda QSA (Qualified Security Assessor). Per poter ottenere tale certificazione, le aziende richiedenti devono possedere alcuni requisiti. Tra questi:
- utilizzare programmi di sicurezza idonei per tutelare la creazione e gestione dei dati trattati
- proteggere i dati dei titolari delle carte di pagamento
- garantire la sicurezza delle informazioni sui titolari di carte di credito e debito, indipendentemente dalle loro modalità o posizioni di raccolta, elaborazione, trasmissione e archiviazione
- i dati dei possessori delle carte devono essere criptati
- possedere le competenze nel caso in cui un utente richiedesse i propri dati di accesso
- eseguire regolarmente controlli sulla sicurezza delle reti e degli archivi dei dati dei clienti
- proteggere le informazioni da fonti terze non autorizzate
