Che cos'è?
Audit e certificazioni PCI DSS e la sicurezza dei pagamenti elettronici.
Non c’è e-commerce senza carte di credito, o quasi: ma come garantire la sicurezza dei dati e delle transazioni? Come contrastare il rischio di frodi?
Il PCI DSS è uno standard per la sicurezza informatica nato nel 2006, quando American Express, Discover, JCB, Mastercard e Visa hanno formato il Payment Card Industry Security Standards Council.
La certificazione PCI DSS regola la gestione dei pagamenti attraverso carte di credito. Effettuare transazioni attraverso un sistema certificato offre agli utenti garanzia della migliore sicurezza possibile.
Questo standard si applica alle organizzazioni che archiviano, elaborano o trasmettono dati relativi ai titolari di carte di credito, come esercenti, acquirenti, autorità emittenti e fornitori di servizi.
Il PCI DSS è lo standard di riferimento per la protezione dei consumatori e aiuta a ridurre le frodi e le violazioni di dati in tutto l’ecosistema dei pagamenti. Si applica a tutte le organizzazioni che accettano o elaborano carte di pagamento.
Certificazione PCI DSS: i requisiti
Un’azienda per essere conforme allo standard PCI DSS deve rispettare alcuni requisiti.
Essi riguardano le modalità con cui vengono archiviati, elaborati e trasmessi i dati dei titolari di carte di credito, ma anche come avviene il flusso dei dati delle carte, come vengono conservati e quali sistemi IT vengono utilizzati.
La certificazione PCI-DSS nasce per garantire la tutela dei dati dei titolari di carta di credito e indica precisi requisiti per procedure, architettura di rete e software cui devono rispondere le aziende che gestiscono i numeri di carte di credito.
Come funziona
Come abbiamo visto, il Payment Card Industry Data Security Standard è un requisito fondamentale per salvaguardare dati sensibili e informazioni sulle transazioni.
Questo standard non sostituisce gli adempimenti legali, per esempio quelli richiesti dalle certificazioni ISO 27000, ma costituisce un ulteriore layer di sicurezza che garantisce agli utenti finali l’osservazione delle buone pratiche riconosciute da tutti i principali attori del settore.
I passaggi tecnici e amministrativi per ottenere la certificazione PCI-DSS introducono alcuni livelli di complessità. Safecore può supportare le aziende in tutte le fasi del processo, dalle analisi iniziali alle implementazioni, nonché al rilascio delle certificazioni laddove richiesto.
Come avviene la certificazione PCI-DSS
Come prima cosa, i tecnici e gli specialisti di Safecore procedono con una analisi della situazione.
Questo processo, chiamato PCI DSS Audit, è necessario per determinare lo stato attuale della sicurezza delle transazioni all’interno dell’azienda, quali implementazioni sono già presenti, quali devono essere migliorate e quali costruite da zero. Terminata questa prima fase, è possibile procedere con i passaggi necessari per ottenere la certificazione.
Safecore, accreditata come Qualified Security Assessor dal PCI SSC, è abilitata a supportare e certificare le aziende nel processo di compliance con una proposta modulare.
Safecore può offrire anche servizi di consulenza su PCI DSS per le aziende che dispongano già di una certificazione, oppure che la vogliano ottenere e dispongano di personale interno con le skill tecniche e gestionali necessarie.
- individuazione del perimetro di applicazione dello standard (CDE o cardholder data environment);
- verifica della situazione di partenza e definizione del piano di adeguamento (gap analysis);
- consulenze di carattere organizzativo e tecnologico per implementare quanto richiesto e comprendere le novità introdotte da nuove versioni dello standard;
- affiancamento del cliente nel processo di autocertificazione tramite il Self Assessment Questionnaire (SAQ) più adatto ai suoi processi di pagamento;
- esecuzione della visita di certificazione (onsite audit) per le entità che non possono o non desiderano ricorrere all’autocertificazione, compilazione del Report on Compliance (RoC) e dell’Attestation of Compliance
(AoC); - esecuzione degli audit, dei vulnerability assessment e dei penetration test richiesti per il rilascio della certificazione;
- formazione dedicata;
supporto per l’iscrizione nelle liste dei service provider accreditati dai vari pavment brand
Perché scegliere Safecore
Il team Safecore è composto da persone appassionate da sempre alle sfide, soprattutto quelle legate alla sicurezza informatica. Le numerose esperienze affrontate in importanti contesti come quello bancario e assicurativo, l’eterogeneità e il forte legame del team rende Safecore un’ottima arma di prevenzione.
Nel tempo sono state acquisite elevate capacità di Problem Solving e un metodo di pensiero fuori dagli schemi (“Think Outside The Box”) che si è rivelato vitale per raggiungere ottimi risultati.
Il team Safecore è altamente qualificato e vanta svariate certificazioni riconosciute a livello aziendale, tra cui:
- OSCP (Offensive Security Certified Professional)
- OSWE (Offensive Security Web Expert)
- eWPT (eLearnSecurity Web application Penetration Tester)
- eMAPT (eLearnSecurity Mobile Application Penetration Tester)
- eJPT (eLearnSecurity Junior Penetration Tester)
- eCDFP (eLearnSecurity Certified Digital Forensics Professional)
- ISO 27001 Lead Auditor
- ISO 22301 Lead Auditor

La nostra metodologia
Safecore ha sviluppato un approccio olistico che consiste nell’analisi periodica dei rischi provenienti dalle tre componenti fondamentali all’interno di un’organizzazione quali le PERSONE, i PROCESSI e le TECNOLOGIE.
attuare politiche di sicurezza a tutela di tutto il personale, interno ed esterno, coinvolto nell’erogazione di servizi
inclusione dei principi di sicurezza in tutti i processi aziendali nel rispetto di “Security by design”
verificare la sicurezza di tutte le tecnologie adottate all”interno dell’organizzazione con particolare riferimento a quelle dedicate per l’erogazione dei servizi
Il percorso nel tempo con Safecore
Safecore offre anche il servizio di consulenza nelle fasi successive, per l’aggiornamento del personale e il mantenimento dei requisiti necessari nel corso del tempo.
In particolare, i servizi di Safecore comprendono:
- definizione dell’ambito di applicazione dell’ISMS in fase di prima implementazione o ampliamento;
- gap analysis e definizione del piano di intervento;
- consulenza in fase di implementazione o certificazione per la risoluzione di eventuali non conformità;
- redazione dell’apparato documentale;
- analisi dei rischi;
- supporto per audit interni;
- attività di riesame;
- formazione;
- affiancamento durante gli audit degli enti certificatori.
Chi ne può beneficiare?
La certificazione PCI DSS è un asset strategico per merchant e service provider che trattano dati di carte di credito o offrono servizi che necessitano di certificazione, oppure per le enterprise che intendano avviare un processo di compliance interamente in house. Safecore offre un percorso modulare e snello che comprende tutte le attività necessarie.