Cos’è lo standard PCI-DSS?
Lo standard PCI-DSS (Payment Card Industry Data Security Standard) è stato elaborato con lo scopo di uniformare le modalità di gestione della sicurezza dei dati delle carte di credito da parte del consorzio PCI creato da American Express, Discover Financial Services, JCB, MasterCard Worldwide e Visa International.
Chi si deve adeguare?
Lo standard deve essere rispettato da tutte le entità (esercenti, service provider, banche) coinvolte in una transazione mediante carta di credito che comporti la trasmissione, l’utilizzo o la memorizzazione del Primary Account Number (PAN) della carta. Tutti i settori commerciali ne sono interessati.
Quali sono le prescrizioni in esso contenute?
Lo standard PCI-DSS è composto da sei famiglie di requisiti che abbracciano i vari aspetti della sicurezza di dati, reti, sistemi e applicazioni, a livello fisico, logico ed organizzativo:
1. Sviluppo e mantenimento di una rete sicura
- Installare e mantenere aggiornato un firewall a protezione dei dati del cardholder.
- Non utilizzare password e altri parametri di default forniti dai produttori nella configurazione dei sistemi di sicurezza.
2. Protezione dei dati del titolare della carta di credito
- Proteggere i dati del cardholder.
- Cifrare i dati del cardholder quando sono trasmessi su una rete pubblica.
3. Mantenimento di un programma per la gestione delle vulnerabilità
- Utilizzare e mantenere aggiornato un antivirus.
- Sviluppare e mantenere applicazioni e sistemi sicuri.
4. Implementazione di misure per il controllo accessi
- Limitare l’accesso ai dati del cardholder alle sole persone che ne necessitano.
- Assegnare un unico user ID ad ogni utente.
- Limitare l’accesso fisico ai dati del cardholder.
5. Esecuzione di test e monitoraggi della rete
- Tracciare e monitorare ogni accesso alle risorse di rete e ai dati del cardholder.
- Verificare regolarmente la sicurezza dei propri sistemi e processi.
6. Mantenimento di una security policy
- Definire e mantenere una policy riguardo alla sicurezza delle informazioni destinata sia ai dipendenti che a terze parti.