Lo standard PCI DSS (Payment Card Industry Data Security Standard) nasce nel 2004 per proteggere i dati delle transazioni con carta di credito e ridurre le frodi. Lo standard è sviluppato e gestito dal Payment Card Industry Security Standards Council (PCI SSC), di cui fanno parte tutti i leader dei servizi di pagamento, tra cui Visa, MasterCard, Discover e American Express.
Standard PCI DSS: perché è fondamentale e a chi si rivolge
Nei primi anni 2000 ci fu una vera e propria impennata di frodi finanziarie, causata da un lato dalla crescita esponenziale delle transazioni elettroniche, dall’altro dalla complessità dei sistemi di pagamento, che tra POS, hotspot wireless, computer non protetti e applicazioni non sicure esponeva le transazioni a una quantità inaccettabile di vulnerabilità. All’epoca, i circuiti di pagamento affrontavano il tema singolarmente, definendo ognuno il proprio standard di sicurezza. Visti i risultati analoghi, la necessità di efficientare la ricerca e di giungere ad uno standard unico fu condivisa da tutti e nacquero PCI DSS (lo standard) e PCI SSC (l’ente). Lo standard, sottoposto a continue integrazioni e aggiornamenti, è approdato alla versione 4.0 il 31 marzo 2022: la precedente versione, v3.2.1, è attualmente valida e verrà ritirata solo il 31 marzo 2024.
Lo standard PCI DSS si rivolge a tutti gli operatori economici che registrano, trattano e trasmettono dati di carte di credito, definendo i requisiti vincolanti (tecnici e operativi) che rendono sicura una transazione finanziaria. Il pensiero va immediatamente ai grandi eCommerce, ma vale senz’altro anche per i punti vendita tradizionali, per qualsiasi servizio erogato via internet e anche per i contact center aziendali, in particolare quelli che nel loro modello operativo ricevono (in diverse modalità, dal telefono al modulo web) e trattano dati di pagamento.
Requisiti e obiettivi dello standard PCI DSS
Lo standard è molto complesso e la conformità rappresenta una sfida per le aziende. Parliamo infatti di diversi livelli di compliance (4), ognuno dei quali con certi requisiti tecnici e di processo, nonché con un iter definito di certificazione. Pur essendo uno standard ad adesione volontaria, alle aziende che trattano dati di pagamento viene richiesta la conformità PCI DSS in molte circostanze, ma in particolare dai propri partner commerciali, dai marketplace nei quali operano, dalle piattaforme di business o dagli stessi player del mercato dei pagamenti. Lo standard definisce i propri requisiti (12) e controlli (più di 300) in funzione di sei grandi obiettivi:
- Progettare sistemi e reti sicure, nelle quali far transitare dati di pagamento.
- Proteggere e cifrare i dati delle carte.
- Proteggere i sistemi e gestire le vulnerabilità.
- Introdurre tecnologie di protezione degli accessi.
- Monitorare ed effettuare test continui sui sistemi e sulle reti.
- Governance: realizzare e implementare policy di sicurezza.
Infine, ma non per importanza, il consorzio definisce in modo preciso i programmi e le procedure finalizzate a certificare la compliance con lo standard PCI DSS, conformità che va rinnovata annualmente e prevede, per aziende con elevati volumi di transazioni, un audit esterno da parte di un QSA (Qualified Security Assessor) riconosciuto dal PCI Security Standards Council.
IFM e la gestione sicura dei dati di pagamento
IFM Infomaster aderisce allo standard PCI DSS e ha ricevuto da un QSA l'attestazione di compliance allo standard PCI DSS in qualità di Service Provider. Ciò significa, in termini pratici, che l’azienda può garantire ai propri clienti una gestione sicura dei dati di pagamento, in quanto allineata con i massimi standard di sicurezza esistenti. Il tutto grazie a un complesso ecosistema tecnico, organizzativo e procedurale, rispettoso dei requisiti del consorzio PCI SSC. Inoltre, per l’acquisizione e la gestione dei dati delle carte di credito attraverso il canale telefonico, IFM
integra nelle sue soluzioni il DTFM Masking, che consente al contact center di acquisire i dati delle carte di credito senza fornirli direttamente all’operatore o permettergli di accedervi in qualsiasi modo. Il consumatore digita i numeri sulla tastiera dello smartphone, ma i toni, che non sono udibili all’operatore, vengono acquisiti dal server, criptati e trasferiti direttamente all’applicazione.