PCI FAQ
Benvenuti a PCI Compliance Guide.
Clicca sui link qui sotto per trovare le risposte alle domande più frequenti.
Q1: | Che cosa è PCI? |
Q2: | A chi si applica il PCI DSS? |
Q3: | Dove posso trovare lo standard di sicurezza dei dati PCI (PCI DSS)? |
Q4: | Quali sono i “livelli” di conformità PCI e come vengono determinati? |
Q5: | Cosa deve fare una piccola-media impresa (commerciante di livello 4) per soddisfare i requisiti PCI DSS? |
Q6: | Come funziona l’assunzione di carte di credito per telefono con PCI? |
Q7: | Se accetto solo carte di credito per telefono, PCI DSS si applica ancora a me? |
Q8: | Le organizzazioni che utilizzano processori di terze parti devono essere conformi a PCI DSS? |
Q9: | La mia azienda ha più sedi, ogni sede è necessaria per convalidare la conformità PCI? |
Q10: | Facciamo solo e-commerce. Quale SAQ dovremmo usare? |
Q11: | La mia azienda non memorizza i dati della carta di credito, quindi la conformità PCI non si applica a noi, giusto? |
Q12: | Le transazioni con carta di debito sono nell’ambito del PCI? |
Q13: | Sono conforme PCI se ho un certificato SSL? |
Q14: | La mia azienda vuole memorizzare i dati della carta di credito. Quali metodi possiamo usare? |
Q15: | Quali sono le sanzioni in caso di non conformità? |
Q16: | Che cosa è definito come ‘dati del titolare della carta’? |
Q17: | Qual è la definizione di ‘merchant’? |
Q18: | Che cosa costituisce un fornitore di servizi? |
Q19: | Che cosa costituisce una domanda di pagamento? |
Q20: | Che cosa è un gateway di pagamento? |
Q21: | Che cosa è PA-DSS? |
Q22: | Il numero completo della carta di credito può essere stampato sulla copia della ricevuta del consumatore? |
Q23: | Ho bisogno di scansione delle vulnerabilità per convalidare la conformità? |
Q24: | Che cos’è una scansione delle vulnerabilità? |
Q25: | Quanto spesso devo avere una scansione delle vulnerabilità? |
Q26: | Cosa succede se la mia azienda si rifiuta di collaborare? |
Q27: | Se gestisco un’attività da casa mia, sono un bersaglio serio per gli hacker? |
Q28: | Cosa devo fare se sono compromesso? |
Q29: | Gli stati hanno leggi che richiedono notifiche di violazione dei dati alle parti interessate? |
Q1: Che cosa è PCI?
A: Il Payment Card Industry Data Security Standard (PCI DSS) è un insieme di standard di sicurezza progettati per garantire che TUTTE le aziende che accettano, elaborano, memorizzano o trasmettono informazioni sulla carta di credito mantengano un ambiente sicuro.
Il Payment Card Industry Security Standards Council (PCI SSC) è stato lanciato il 7 settembre 2006 per gestire la continua evoluzione degli standard di sicurezza del Payment Card Industry (PCI) con l’obiettivo di migliorare la sicurezza del conto di pagamento durante tutto il processo di transazione. Il PCI DSS è amministrato e gestito dal PCI SSC (www.pcisecuritystandards.org), un organismo indipendente che è stato creato dai principali marchi di carte di pagamento (Visa, MasterCard, American Express, Discover e JCB.). È importante notare che i marchi di pagamento e gli acquirenti sono responsabili dell’applicazione della conformità, non del consiglio PCI. Una copia del PCI DSS è disponibile qui.
Torna su
Q2: A chi si applica il PCI DSS?
A: Il PCI DSS si applica a QUALSIASI organizzazione, indipendentemente dalle dimensioni o dal numero di transazioni, che accetta, trasmette o memorizza i dati del titolare della carta.
Torna all’inizio
Q3: Dove posso trovare lo standard di sicurezza dei dati PCI (PCI DSS)?
A: Gli attuali documenti PCI DSS sono disponibili sul sito web del PCI Security Standards Council.
Torna su
Q4: Quali sono i “livelli” di conformità PCI e come vengono determinati?
A: Tutti i commercianti cadranno in uno dei quattro livelli mercantili in base al volume delle transazioni Visa per un periodo di 12 mesi. Il volume delle transazioni si basa sul numero aggregato di transazioni Visa (comprensive di credito, debito e prepagato) da parte di un commerciante che svolge attività come (“DBA”). Nei casi in cui una società mercantile ha più di un DBA, gli acquirenti di Visa devono considerare il volume aggregato di transazioni memorizzate, elaborate o trasmesse dall’entità aziendale per determinare il livello di convalida. Se i dati non sono aggregati, in modo tale che l’entità aziendale non memorizzi, elabori o trasmetta i dati del titolare della carta per conto di più DBA, gli acquirenti continueranno a considerare il volume delle singole transazioni del DBA per determinare il livello di convalida.
Livelli di merchant definiti da Visa:
Livello | Descrizione |
1 | Qualsiasi commerciante — a prescindere dall’accettazione del canale — elaborazione di più di 6M Visto transazioni all’anno. Qualsiasi commerciante che Visa, a sua esclusiva discrezione, determina dovrebbe soddisfare i requisiti del commerciante di livello 1 per ridurre al minimo il rischio per il sistema dei visti. |
2 | Qualsiasi commerciante — indipendentemente dal canale di accettazione — elaborazione 1M a 6M transazioni Visa all’anno. |
3 | Qualsiasi commerciante elaborazione 20.000 a 1M Visa transazioni di e-commerce all’anno. |
4 | Qualsiasi commerciante che elabora meno di 20.000 transazioni di e-commerce Visa all’anno e tutti gli altri commercianti — indipendentemente dal canale di accettazione — elaborano fino a 1 milione di transazioni Visa all’anno. |
* Qualsiasi commerciante che ha subito una violazione che ha portato a una compromissione dei dati dell’account può essere aumentata a un livello di convalida più elevato.
Torna su
Q5: Cosa deve fare una piccola-media impresa (commerciante di livello 4) per soddisfare i requisiti PCI DSS?
A: Per soddisfare i requisiti di PCI, un commerciante deve completare i seguenti passaggi:
- Determinare quale questionario di autovalutazione (SAQ) la tua azienda dovrebbe utilizzare per convalidare la conformità. Vedi la tabella qui sotto per aiutarti a selezionare. (Clicca grafico per ingrandire.)
- Completa il questionario di autovalutazione secondo le istruzioni in esso contenute.
- Completare e ottenere la prova di una scansione delle vulnerabilità di passaggio con un PCI SSC Approved Scanning Vendor (ASV). Nota la scansione non si applica a tutti i commercianti. È necessario per SAQ A-EP, SAQ B-IP, SAQ C, SAQ D-Merchant e SAQ D-Service Provider.
- Compilare il relativo Attestato di conformità nella sua interezza (che si trova nello strumento SAQ).
- Invia il SAQ, la prova di una scansione passata (se applicabile) e l’attestazione di conformità, insieme a qualsiasi altra documentazione richiesta, al tuo acquirente.
Leggi il nostro post sul blog, ” The PCI Basics / Quick Guide-Cosa devono fare i piccoli commercianti per ottenere la conformità PCI?”
Torna su
Q6: Come funziona la presa di carte di credito per telefono con PCI?
A: Il seguente post, ” Come funziona l’assunzione di carte di credito per telefono con PCI?”spiega le tue responsabilità di conformità PCI quando prendi i dati della carta di credito per telefono (ad esempio, in un call center). Si noti che, mentre questo post è stato pubblicato nel 2014, è ancora rilevante con la versione corrente del PCI DSS.
Torna all’inizio
Q7: Se accetto solo carte di credito per telefono, PCI DSS si applica ancora a me?
A: Sì. Tutte le aziende che memorizzano, elaborano o trasmettono i dati del titolare della carta di pagamento devono essere conformi PCI.
Torna all’inizio
Q8: Le organizzazioni che utilizzano processori di terze parti devono essere conformi a PCI DSS?
A: Sì. Il semplice utilizzo di una società di terze parti non esclude una società dalla conformità PCI DSS. Può ridurre la loro esposizione al rischio e di conseguenza ridurre gli sforzi per convalidare la conformità. Tuttavia, ciò non significa che possano ignorare il PCI DSS.
Torna all’inizio
Q9: La mia azienda ha più sedi, ogni sede è necessaria per convalidare la conformità PCI?
A: Se le sedi aziendali vengono elaborate con lo stesso codice fiscale, in genere è necessario convalidare solo una volta all’anno per tutte le sedi. E, inviare trimestralmente passando scansioni di rete da un PCI SSC Approved Scanning Vendor (ASV) per ogni posizione, se applicabile.
Torna all’inizio
Q10: Facciamo solo e-commerce. Quale SAQ dovremmo usare?
A: Dipende da come è impostato il tuo carrello. Vedere PCI SAQ 3.1: Opzioni di e-Commerce spiegato.
Torna all’inizio
Q11: La mia azienda non memorizza i dati della carta di credito, quindi la conformità PCI non si applica a noi, giusto?
A: Se si accettano carte di credito o di debito come forma di pagamento, si applica la conformità PCI. La memorizzazione dei dati della carta è rischiosa, quindi se non si memorizzano i dati della carta, diventare sicuri e conformi potrebbe essere più facile.
Torna all’inizio
Q12: le transazioni con carta di debito sono nell’ambito di PCI?
A: Le carte in-scope includono tutte le carte di debito, di credito e prepagate marchiate con uno dei loghi five card association/brand che partecipano al PCI SSC-American Express, Discover, JCB, MasterCard e Visa International.
Torna all’inizio
Q13: Sono conforme PCI se ho un certificato SSL?
A: No. I certificati SSL non proteggono un server Web da attacchi dannosi o intrusioni. I certificati SSL High assurance forniscono il primo livello di sicurezza e rassicurazione del cliente come il seguente, ma ci sono altri passaggi per ottenere la conformità PCI. Vedi Domanda ” Cosa deve fare una piccola-media impresa (commerciante di livello 4) per soddisfare i requisiti PCI?”
- Una connessione sicura tra il browser del cliente e il server web
- Convalida che gli operatori del sito web sono un’organizzazione legittima e legalmente responsabile
Vedi post sul blog correlato, ” PCI DSS v3.1 e SSL: Cosa dovresti fare ORA.”
Torna all’inizio
Q14: La mia azienda vuole memorizzare i dati della carta di credito. Quali metodi possiamo usare?
A: La maggior parte dei commercianti che hanno bisogno di memorizzare i dati della carta di credito lo stanno facendo per la fatturazione ricorrente. Il modo migliore per memorizzare i dati della carta di credito per la fatturazione ricorrente è utilizzando un deposito di carte di credito di terze parti e un fornitore di tokenizzazione. Utilizzando un vault, i dati della carta vengono rimossi dal tuo possesso e ti viene restituito un “token” che può essere utilizzato ai fini della fatturazione ricorrente. Utilizzando una terza parte, si sposta il rischio di memorizzare i dati della carta a qualcuno che si specializza nel farlo e ha tutti i controlli di sicurezza in atto per mantenere i dati della carta al sicuro.
Se è necessario memorizzare i dati della carta da soli, la barra per l’autovalutazione è molto alta e potrebbe essere necessario disporre di un QSA (Qualified Security Assessor) in loco ed eseguire un audit per assicurarsi di disporre di tutti i controlli necessari per soddisfare le specifiche PCI DSS.
Vedi post sul blog correlato, ” Possiamo archiviare in modo sicuro i dati delle carte per la fatturazione ricorrente?”
Torna su
Q15: Quali sono le sanzioni in caso di non conformità?
A: I marchi di pagamento possono, a loro discrezione, multare una banca acquirente da $5,000 a $100,000 al mese per violazioni della conformità PCI. Le banche molto probabilmente passeranno questa multa fino a quando non colpirà il commerciante. Inoltre, la banca sarà anche molto probabilmente o terminare il vostro rapporto o aumentare le spese di transazione. Le sanzioni non sono apertamente discusse né ampiamente pubblicizzate, ma possono essere catastrofiche per una piccola impresa. È importante avere familiarità con il tuo contratto di conto commerciante, che dovrebbe delineare la tua esposizione.
Per saperne di più sulle sanzioni per non conformità nel nostro post sul blog, “Come possono i vostri sforzi di conformità PCI in ultima analisi, risparmiare i vostri soldi Business?”
Torna all’inizio
Q16: Che cosa sono definiti “dati del titolare della carta”?
A: PCI Security Standards Council (SSC) definisce il ” titolare dei dati’ come il Primario completo, Numero di Conto (PAN) o l’intero PADELLA insieme a uno dei seguenti elementi:
- nome del Titolare
- data di Scadenza
- il codice di Servizio
Sensibili di Autenticazione dei Dati, che deve essere protetto, che include dati sulla banda magnetica, CAV2, CVC2, CVV2, CID, Perni, blocchi e altro ancora.
Torna all’inizio
Q17: Qual è la definizione di ‘merchant’?
A: Ai fini del PCI DSS, un commerciante è definito come qualsiasi entità che accetta carte di pagamento recanti i loghi di uno dei cinque membri di PCI SSC (American Express, Discover, JCB, MasterCard o Visa) come pagamento di beni e/o servizi. Si noti che un commerciante che accetta carte di pagamento come pagamento per beni e / o servizi può anche essere un fornitore di servizi, se i servizi venduti comportano la memorizzazione, l’elaborazione o la trasmissione dei dati del titolare della carta per conto di altri commercianti o fornitori di servizi. Ad esempio, un ISP è un commerciante che accetta carte di pagamento per la fatturazione mensile, ma è anche un fornitore di servizi se ospita commercianti come clienti. Fonte: PCI SSC
Torna su
Q18: Cosa costituisce un fornitore di servizi?
A: Il PCI SSC definisce un fornitore di servizi in questo modo:
“Entità commerciale che non è un marchio di pagamento, direttamente coinvolta nell’elaborazione, nell’archiviazione o nella trasmissione dei dati del titolare della carta. Ciò include anche le aziende che forniscono servizi che controllano o potrebbero influire sulla sicurezza dei dati dei titolari della carta.”(Fonte: www.pcisecuritystandard.org)
Il ruolo di” commerciante come fornitore di servizi “è ulteriormente specificato dal PCI SSC come” commerciante che accetta carte di pagamento come pagamento di beni e/o servizi if se i servizi venduti comportano la memorizzazione, l’elaborazione o la trasmissione di dati del titolare della carta per conto di altri commercianti o fornitori di servizi.”Scopri di più su come ottenere la conformità come fornitore di servizi. Vedi il nostro post sul blog, ” Conformità PCI e il fornitore di servizi.”
Torna su
Q19: Che cosa costituisce una domanda di pagamento?
A: Cosa costituisce una domanda di pagamento in relazione alla conformità PCI? Il termine applicazione di pagamento ha un significato molto ampio in PCI. Un’applicazione di pagamento è tutto ciò che memorizza, elabora o trasmette elettronicamente i dati della carta. Ciò significa che qualsiasi cosa, da un punto di sistema di vendita (ad esempio, terminali swipe Verifone, terminali ALOHA, ecc.) in un ristorante a un sito Web e-commerce carrello della spesa (ad esempio, CreLoaded, osCommerce, ecc) sono tutti classificati come applicazioni di pagamento. Pertanto qualsiasi software progettato per toccare i dati della carta di credito è considerato un’applicazione di pagamento.
Torna all’inizio
Q20: Che cosa è un gateway di pagamento?
A: I gateway di pagamento collegano un commerciante alla banca o al processore che funge da connessione front-end ai marchi delle carte. Sono chiamati gateway perché prendono molti input da una varietà di applicazioni diverse e instradano tali input alla banca o al processore appropriato. I gateway comunicano con la banca o il processore utilizzando connessioni dial-up, connessioni basate sul Web o linee affittate private.
Torna all’inizio
Q21: Che cos’è PA-DSS?
A: PA-DSS si riferisce allo standard di sicurezza dei dati delle applicazioni di pagamento gestito dal PCI Security Standards Council (SSC) per affrontare il problema critico della sicurezza delle applicazioni di pagamento. I requisiti all’interno del PA-DSS sono progettati per garantire che i fornitori forniscano prodotti che supportano gli sforzi dei commercianti per mantenere la conformità PCI DSS ed eliminare l’archiviazione dei dati sensibili dei titolari di carta.
Il PCI SSC amministra il programma per convalidare la conformità delle applicazioni di pagamento rispetto al PA-DSS e pubblica e mantiene un elenco di applicazioni convalidate PA-DSS. Vedere Standard di sicurezza PCI per ulteriori informazioni. Vedi anche il nostro post sul blog sulla differenza critica tra PCI DSS e PA-DSS qui.
Torna su
Q22: Il numero completo della carta di credito può essere stampato sulla copia della ricevuta del consumatore?
A: PCI DSS requisito 3.3 stati ” Maschera PAN quando viene visualizzato (le prime sei e le ultime quattro cifre sono il numero massimo di cifre da visualizzare).”Sebbene il requisito non proibisca la stampa del numero completo della carta o della data di scadenza sulle ricevute (la copia del commerciante o la copia del consumatore), si noti che PCI DSS non sovrascrive altre leggi che legiferano ciò che può essere stampato sulle ricevute (come il Fair and Accurate Credit Transactions Act (FACTA) degli Stati Uniti o qualsiasi altra legge applicabile).
Vedere la nota in corsivo sotto PCI DSS requisito 3.3 ” Nota: Questo requisito non sostituisce i requisiti più severi in vigore per la visualizzazione dei dati del titolare della carta, ad esempio i requisiti legali o di marca della carta di pagamento per le ricevute dei punti vendita (POS). Tutte le ricevute cartacee memorizzate dai commercianti devono rispettare il PCI DSS, in particolare il requisito 9 per quanto riguarda la sicurezza fisica”” Fonte: PCI SSC
Torna all’inizio
Q23: Ho bisogno di scansione delle vulnerabilità per convalidare la conformità?
A: Se si hanno i requisiti per alcuni questionari di autovalutazione (SAQS) o si archiviano elettronicamente i dati del titolare della carta, è necessaria una scansione trimestrale da parte di un fornitore di scansione approvato PCI SSC (ASV) per mantenere la conformità. Se si qualificano per uno dei seguenti SAQs sotto la versione 3.x del PCI DSS, quindi è necessario avere una scansione ASV di passaggio:
- SAQ A-EP
- SAQ B-IP
- SAQ C
- SAQ D-Merchant
- SAQ D-Service Provider
Torna all’inizio
Q24: Che cos’è una scansione delle vulnerabilità?
A: Una scansione delle vulnerabilità comporta uno strumento automatico che controlla le vulnerabilità dei sistemi di un commerciante o di un fornitore di servizi. Lo strumento effettuerà una scansione non intrusiva per esaminare in remoto le reti e le applicazioni Web in base agli indirizzi IP (Internet Protocol) esterni forniti dal commerciante o dal fornitore di servizi. La scansione identifica le vulnerabilità nei sistemi operativi, servizi e dispositivi che potrebbero essere utilizzati dagli hacker per indirizzare la rete privata della società. Come previsto da un fornitore di scansione approvato (ASV) come ControlScan, la scansione non richiede al commerciante o al fornitore di servizi di installare alcun software sui propri sistemi e non verranno eseguiti attacchi denial-of-service. Ulteriori informazioni sulle scansioni delle vulnerabilità qui.
Torna su
Q25: Quanto spesso devo eseguire una scansione delle vulnerabilità?
A: Ogni 90 giorni/una volta al trimestre, coloro che soddisfano i criteri di cui sopra sono tenuti a presentare una scansione di passaggio. I commercianti e i fornitori di servizi devono presentare la documentazione di conformità (report di scansione di successo) secondo il calendario stabilito dal loro acquirente. Le scansioni devono essere condotte da un fornitore di scansione approvato PCI SSC (ASV) come ControlScan.
Vedi post sul blog correlato, ” Scansioni di vulnerabilità interne ed esterne: perché hai bisogno di entrambi.”
Torna all’inizio
Q26: Cosa succede se la mia azienda si rifiuta di collaborare?
A: PCI non è, di per sé, una legge. Lo standard è stato creato dai principali marchi di carte Visa, MasterCard, Discover, AMEX e JCB. A discrezione dei loro acquirenti/fornitori di servizi, i commercianti che non rispettano PCI DSS possono essere soggetti a multe, costi di sostituzione della carta, costosi audit forensi, danni al marchio, ecc., dovrebbe accadere un evento di violazione.
Per un piccolo sforzo iniziale e costi per conformarsi al PCI DSS, contribuisci notevolmente a ridurre il rischio di affrontare queste conseguenze estremamente spiacevoli e costose. Scopri come ControlScan aiuta a semplificare PCI DSS.
Torna su
Q27: Se gestisco un’attività da casa mia, sono un bersaglio serio per gli hacker?
A: Sì. Gli utenti domestici sono probabilmente i più vulnerabili semplicemente perché di solito non sono ben protetti. Adottando un modello “path of least resistance”, gli intrusi spesso azzerano gli utenti domestici, spesso sfruttando le loro connessioni a banda larga sempre attive e i tipici programmi di uso domestico come chat, giochi su Internet e applicazioni di condivisione di file P2P. Il servizio di scansione di ControlScan consente agli utenti domestici e agli amministratori di rete di identificare e correggere eventuali vulnerabilità di sicurezza sui loro computer desktop o laptop.
Vedi post sul blog correlato, ” 5 best practice per proteggere il tuo piccolo business.”
Torna su
Q28: Cosa devo fare se sono compromesso?
A: Mentre molte violazioni dei dati delle carte di pagamento sono facilmente prevenibili, possono e continuano ad accadere alle aziende di tutte le dimensioni.
Se la tua azienda di piccole o medie dimensioni ha scoperto che è stata violata, ci sono molte buone risorse per aiutarti con i prossimi passi. Raccomandiamo quanto segue:
- Department of Justice, Best Practices for Victim Response and Reporting of Cyber Incidents
- PCI Council, Responding to a Data Breach – A How-to Guide for Incident Management
- Electronic Transactions Association (ETA), Data Breach Response: A Nine-Step Guide for Smaller Merchants
Back to Top
Q29: Do states have laws requiring data breach notifications to the affected parties?
A: Assolutamente. La California è il catalizzatore per la segnalazione di violazioni dei dati alle parti interessate. Lo stato ha implementato la sua violazione notifica legge nel 2003, e ora quasi ogni stato ha una legge simile in atto.
A partire dal 12 aprile 2017, NCSL.org rapporti: Quarantotto stati, il Distretto di Columbia, Guam, Porto Rico e le Isole Vergini hanno emanato una legislazione che richiede enti privati, governativi o educativi per notificare gli individui di violazioni della sicurezza delle informazioni che coinvolgono informazioni personali identificabili.
Torna su
Leave a Reply