Che cos'è?
Le verifiche e le certificazioni PCI DSS sono fondamentali per la sicurezza dei pagamenti elettronici.
Le transazioni e-commerce dipendono ampiamente dall’uso delle carte di credito. Ma come si può assicurare la sicurezza dei dati e delle transazioni e prevenire frodi?
Il PCI DSS è uno standard per la sicurezza informatica, introdotto nel 2006 da un consorzio formato da American Express, Discover, JCB, Mastercard e Visa, noto come Payment Card Industry Security Standards Council.
La certificazione PCI DSS disciplina la gestione dei pagamenti con carte di credito, garantendo agli utenti la massima sicurezza nelle transazioni.
Questo standard è rivolto alle organizzazioni che immagazzinano, processano o trasmettono dati di titolari di carte di credito, inclusi commercianti, acquisitori, enti emittenti e fornitori di servizi. Il PCI DSS è il punto di riferimento per la tutela dei consumatori, contribuendo alla riduzione di frodi e violazioni di dati nell’intero ecosistema dei pagamenti elettronici. È applicabile a tutte le entità che accettano o processano pagamenti con carte.
Certificazione PCI DSS: i requisiti
er aderire allo standard PCI DSS, un’azienda deve soddisfare specifici requisiti. Questi includono le pratiche adottate per l’archiviazione, l’elaborazione e la trasmissione dei dati dei titolari di carte di credito, oltre a come vengono gestiti i flussi di dati delle carte, la loro conservazione e i sistemi IT impiegati.
Lo scopo della certificazione PCI-DSS è proteggere i dati dei possessori di carte di credito, stabilendo criteri dettagliati per le procedure, la struttura di rete e il software. Le aziende che trattano numeri di carte di credito devono conformarsi a questi requisiti.
Come funziona
Come abbiamo esaminato, il Payment Card Industry Data Security Standard (PCI-DSS) è essenziale per proteggere dati sensibili e informazioni riguardanti le transazioni.
Questo standard non si sostituisce ai requisiti legali, come quelli previsti dalle certificazioni ISO 27000, ma rappresenta un livello aggiuntivo di sicurezza. Assicura agli utenti finali che le pratiche adottate sono conformi agli standard riconosciuti dai principali attori del settore.
L’ottenimento della certificazione PCI-DSS richiede di superare alcune complessità sia tecniche che amministrative. Safecore offre assistenza alle aziende in tutte le tappe del processo, a partire dalle analisi preliminari fino alle implementazioni necessarie e, se necessario, all’emissione delle certificazioni.
Come avviene la certificazione PCI-DSS
Come prima cosa, i tecnici e gli specialisti di Safecore procedono con una analisi della situazione.
Questo processo, chiamato PCI DSS Audit, è necessario per determinare lo stato attuale della sicurezza delle transazioni all’interno dell’azienda, quali implementazioni sono già presenti, quali devono essere migliorate e quali costruite da zero. Terminata questa prima fase, è possibile procedere con i passaggi necessari per ottenere la certificazione.
Safecore, accreditata come Qualified Security Assessor dal PCI SSC, è abilitata a supportare e certificare le aziende nel processo di compliance con una proposta modulare.
Safecore può offrire anche servizi di consulenza su PCI DSS per le aziende che dispongano già di una certificazione, oppure che la vogliano ottenere e dispongano di personale interno con le skill tecniche e gestionali necessarie.
- individuazione del perimetro di applicazione dello standard (CDE o cardholder data environment);
- verifica della situazione di partenza e definizione del piano di adeguamento (gap analysis);
- consulenze di carattere organizzativo e tecnologico per implementare quanto richiesto e comprendere le novità introdotte da nuove versioni dello standard;
- affiancamento del cliente nel processo di autocertificazione tramite il Self Assessment Questionnaire (SAQ) più adatto ai suoi processi di pagamento;
- esecuzione della visita di certificazione (onsite audit) per le entità che non possono o non desiderano ricorrere all’autocertificazione, compilazione del Report on Compliance (RoC) e dell’Attestation of Compliance
(AoC); - esecuzione degli audit, dei vulnerability assessment e dei penetration test richiesti per il rilascio della certificazione;
- formazione dedicata;
supporto per l’iscrizione nelle liste dei service provider accreditati dai vari pavment brand
Perché scegliere Safecore
Il team Safecore è composto da persone appassionate da sempre alle sfide, soprattutto quelle legate alla sicurezza informatica. Le numerose esperienze affrontate in importanti contesti come quello bancario e assicurativo, l’eterogeneità e il forte legame del team rende Safecore un’ottima arma di prevenzione.
Nel tempo sono state acquisite elevate capacità di Problem Solving e un metodo di pensiero fuori dagli schemi (“Think Outside The Box”) che si è rivelato vitale per raggiungere ottimi risultati.
Il team Safecore è altamente qualificato e vanta svariate certificazioni riconosciute a livello aziendale, tra cui:
- OSCP (Offensive Security Certified Professional)
- OSWE (Offensive Security Web Expert)
- eWPT (eLearnSecurity Web application Penetration Tester)
- eMAPT (eLearnSecurity Mobile Application Penetration Tester)
- eJPT (eLearnSecurity Junior Penetration Tester)
- eCDFP (eLearnSecurity Certified Digital Forensics Professional)
- ISO 27001 Lead Auditor
- ISO 22301 Lead Auditor
La nostra metodologia
Safecore ha sviluppato un approccio olistico che consiste nell’analisi periodica dei rischi provenienti dalle tre componenti fondamentali all’interno di un’organizzazione quali le PERSONE, i PROCESSI e le TECNOLOGIE.
attuare politiche di sicurezza a tutela di tutto il personale, interno ed esterno, coinvolto nell’erogazione di servizi
inclusione dei principi di sicurezza in tutti i processi aziendali nel rispetto di “Security by design”
verificare la sicurezza di tutte le tecnologie adottate all”interno dell’organizzazione con particolare riferimento a quelle dedicate per l’erogazione dei servizi
Il percorso nel tempo con Safecore
Safecore offre anche il servizio di consulenza nelle fasi successive, per l’aggiornamento del personale e il mantenimento dei requisiti necessari nel corso del tempo.
In particolare, i servizi di Safecore comprendono:
- definizione dell’ambito di applicazione dell’ISMS in fase di prima implementazione o ampliamento;
- gap analysis e definizione del piano di intervento;
- consulenza in fase di implementazione o certificazione per la risoluzione di eventuali non conformità;
- redazione dell’apparato documentale;
- analisi dei rischi;
- supporto per audit interni;
- attività di riesame;
- formazione;
- affiancamento durante gli audit degli enti certificatori.
Chi ne può beneficiare?
Per i commercianti e i fornitori di servizi che gestiscono dati di carte di credito, o per le aziende che forniscono servizi che richiedono una certificazione, la certificazione PCI DSS è un elemento chiave nella loro strategia. È anche cruciale per le imprese che desiderano intraprendere internamente un percorso di conformità. Safecore propone un approccio modulare e agile che copre tutte le fasi necessarie per il conseguimento della certificazione.