Italiano Deutsch English (United States) Français

Articoli in questa sezione

Guida allo standard PCI DSS: cos’è e come funziona

Avatar
Help
  • Aggiornato
Segui
Piano tariffarioFree, Growth
Disponibile inTutti i paesi

Questo articolo illustra lo standard PCI DSS, i soggetti interessati e le procedure di conformità.

 

Panoramica

Il Payment Card Industry Data Security Standard (PCI DSS) è uno standard di sicurezza internazionale progettato per proteggere i dati delle carte di pagamento.

Lo standard si applica a qualsiasi organizzazione che memorizza, elabora o trasmette dati relativi ai principali circuiti come Visa, Mastercard, American Express, Discover e JCB.

L’obiettivo del PCI DSS è ridurre il rischio di frodi e garantire una gestione sicura dei dati sensibili.

Punti chiave

  • Protezione dati: garantisce la sicurezza delle informazioni sulle carte di pagamento.
  • Ambito di applicazione: riguarda tutte le organizzazioni che gestiscono transazioni con carta.
  • Governance: lo standard è definito dal PCI Security Standards Council (PCI SSC).
  • Responsabilità: la conformità è richiesta dai circuiti di pagamento e dalle banche acquirer.
  • Esclusioni: le carte private label (circuiti chiusi) non rientrano nel perimetro dello standard.

 

Ambito di applicazione dello standard PCI DSS

Lo standard PCI DSS si applica alle organizzazioni che:

  • Archiviano dati delle carte di pagamento.
  • Elaborano transazioni o pagamenti con carta.
  • Trasmettono informazioni sensibili relative ai pagamenti.

Esclusioni: lo standard non si applica alle carte private label che non appartengono ai principali circuiti internazionali.

 

Chi definisce e applica lo standard PCI DSS

  • Governance: il PCI Security Standards Council (PCI SSC) definisce e aggiorna lo standard.
  • Conformità: i circuiti di pagamento e le banche acquirer sono responsabili della sua applicazione e del controllo della conformità.

 

Come funziona la conformità

Le organizzazioni sono tenute a validare regolarmente la propria conformità allo standard PCI DSS. Il metodo di validazione viene stabilito in base al volume delle transazioni e al livello di rischio.

Grandi organizzazioni

  • Audit: verifica annuale condotta da un Qualified Security Assessor (QSA).
  • Esito: rilascio di un Report on Compliance (ROC). 

Piccole organizzazioni

  • Autovalutazione: compilazione di un Self-Assessment Questionnaire (SAQ).
  • Sicurezza: potrebbero essere richieste scansioni periodiche delle vulnerabilità.

 

PCI DSS v4.0

La versione attuale dello standard è la PCI DSS v4.0.

Le principali novità includono:

 

  • Flessibilità: un approccio orientato al rischio che consente maggiore personalizzazione.
  • Sicurezza degli accessi: requisiti di autenticazione più rigorosi, con l'obbligo di autenticazione a più fattori (MFA).
  • Monitoraggio: controlli continui per garantire una sicurezza costante nel tempo.
  • Adattabilità: una migliore integrazione con le moderne infrastrutture tecnologiche e i diversi ambienti tecnici.

Articoli correlati

Commenti

0 commenti

Accedi per aggiungere un commento.