Elenco di controllo della conformità PCI: ciò che ogni azienda di e-commerce deve sapere
Pubblicato: 2022-10-03Sembra che ogni giorno sentiamo di una nuova violazione dei dati. Solo nel 2020, le principali aziende come J.Crew, Estee Lauder, T-Mobile, GE, Marriott, Avon e Staples hanno subito violazioni dei dati, costando ingenti somme di denaro e danneggiando la fiducia dei clienti.
È facile pensare che "succede solo ai grandi", ma il fatto è che il 90% delle violazioni ha un impatto sulle piccole imprese. Per questo motivo, i rivenditori di eCommerce che elaborano pagamenti con carta di credito o di debito online, quindi quasi tutti! – dovrebbe essere conforme allo standard PCI. Allora, cos'è la conformità PCI e come può aiutare la tua azienda? Immergiamoci!
Che cos'è la conformità PCI?
PCI è l'acronimo di "Payment Card Industry". Potresti anche vederlo come PCI DSS, che sta per "Payment Card Industry Data Security Standard". In ogni caso, la definizione di conformità PCI è "un insieme di requisiti volti a garantire che tutte le aziende che elaborano, archiviano o trasmettono informazioni sulle carte di credito mantengano un ambiente sicuro".
La conformità PCI è stata sviluppata nel 2006 dal PCI Security Standards Council (PCI SSC) , un organismo indipendente composto da leader del settore delle carte di pagamento di Visa, MasterCard, American Express, Discover e JCB (motivo per cui a volte viene indicato come "credito conformità della carta”). Il loro obiettivo è proteggere tutte le parti coinvolte nelle transazioni di pagamento, comprese le reti di pagamento, i processori, gli istituti finanziari, i clienti e le aziende.
Perché è importante la conformità PCI?
La conformità PCI non è un requisito legale. Tuttavia, il mancato rispetto dei protocolli PCI potrebbe causare problemi legali ai rivenditori di eCommerce. Come? Se la tua azienda subisce una violazione dei dati e le indagini risultanti rivelano che i tuoi processi non erano conformi allo standard PCI, potresti essere soggetto a migliaia di dollari in sanzioni e commissioni governative e degli emittenti di carte di pagamento e potrebbero essere intentate azioni legali e richieste di risarcimento assicurative per il mancato rispetto rispettare gli standard PCI. Inoltre, potresti perdere la fiducia dei clienti, dipendenti preziosi, la capacità di accettare carte di pagamento (la campana a morto per i rivenditori online) ed essere soggetto a costi di conformità più elevati.
Quindi, anche se non puoi essere penalizzato semplicemente per non essere conforme a PCI, puoi essere ritenuto responsabile per qualsiasi violazione che si verifica se non sei conforme. E, come accennato in precedenza, il 90% delle violazioni ha un impatto sulle piccole imprese, quindi è meglio prevenire che curare.
Ti starai chiedendo perché i criminali informatici vorrebbero inseguire le piccole imprese; dopotutto, ci sono pesci molto più grandi da friggere! Ebbene, i criminali informatici vedono le piccole imprese come facili prede. Sanno che la maggior parte dei grandi rivenditori sarà conforme allo standard PCI e quindi meno vulnerabile. Tuttavia, stanno scommettendo che molte piccole imprese non hanno adottato le misure necessarie per diventare conformi allo standard PCI, il che le rende un bersaglio facile.
6 tipi di violazioni della sicurezza da cui protegge la conformità PCI
Mentre i criminali informatici cercheranno sempre una via d'ingresso nonostante le protezioni (è proprio quello che fanno), la conformità PCI può fare molto per proteggere dai seguenti sei tipi di disastri della sicurezza .
- Malware. I criminali utilizzano software dannoso per infiltrarsi in un sistema informatico e rubare i dati di pagamento. Il ransomware , in cui un hacker tiene "ostaggio" dei dati in cambio di denaro in Bitcoin, è una delle forme di malware in più rapida crescita.
- Phishing. Un veicolo comune per la consegna di malware, le e-mail di phishing (come una fattura o una richiesta di informazioni dalla C-suite) sembrano legittime per convincere le persone ad aprirle. Tuttavia, contengono collegamenti o allegati dannosi che possono infettare un computer e l'intero sistema.
- Accesso remoto. I deboli controlli dell'accesso remoto, ad esempio quelli utilizzati dai fornitori di terminali di pagamento, consentono ai criminali informatici di accedere ai tuoi sistemi che archiviano, elaborano o trasmettono dati di pagamento.
- Password deboli . C'è un motivo per cui oggi le password richiedono lettere maiuscole, numeri e simboli speciali diversi: oltre l' 80% delle violazioni dei dati riguarda password rubate o deboli.
- Software obsoleto. I difetti nei software obsoleti spesso non vengono corretti, il che li rende facili da infiltrare per i criminali informatici.
- Scrematura. Sebbene ciò si applichi solo alle posizioni dei negozi fisici, lo skimming si verifica quando i criminali collegano piccoli "dispositivi di skimming" hardware ai lettori di carte che rubano i dati di pagamento dei clienti quando utilizzano le carte di pagamento. Quindi, è possibile creare carte contraffatte per effettuare acquisti illegali.
I 4 livelli di conformità PCI
Pensi che non sia giusto che la tua piccola impresa sia tenuta agli stessi standard PCI di un'azienda multimiliardaria come Amazon? La buona notizia è che non lo è! Esistono quattro livelli di conformità PCI, determinati dal numero di transazioni che un'azienda gestisce ogni anno.
- Livello 1: commercianti che elaborano oltre 6 milioni di transazioni con carta all'anno.
- Livello 2: commercianti che elaborano da 1 a 6 milioni di transazioni all'anno.
- Livello 3: Commercianti che elaborano da 20.000 a 1 milione di transazioni all'anno.
- Livello 4: Commercianti che elaborano meno di 20.000 transazioni all'anno.
Il PCI SSC offre anche un semplice questionario di autovalutazione sul proprio sito Web che ti aiuterà a determinare quali requisiti PCI Data Security Standard sono applicabili alla tua azienda.
In che modo le startup e le piccole imprese di e-commerce possono prepararsi utilizzando questa checklist di conformità PCI
Di seguito sono riportati i modi in cui puoi aumentare i livelli di conformità PCI per proteggere la tua azienda e i tuoi clienti. Pensa a questo come alla tua "lista di controllo della conformità PCI". Tutti i 12 requisiti di conformità PCI riguardano un principio e questi principi sono:
- Costruisci e mantieni una rete sicura
- Proteggi i dati dei titolari di carta
- Mantenere un programma di gestione delle vulnerabilità
- Implementare forti misure di controllo degli accessi
- Monitorare e testare regolarmente le reti
- Mantenere una politica di sicurezza delle informazioni
1. Utilizzare e mantenere i firewall
Quando un criminale informatico o un altro attore sconosciuto, malintenzionato o meno, tenta di accedere a dati privati nel tuo sistema, un firewall ne impedisce sostanzialmente l'accesso. Naturalmente, i firewall non sono impenetrabili e si possono trovare vulnerabilità (motivo per cui è importante mantenerli tramite aggiornamenti), ma sono una buona prima linea di difesa.
2. Utilizzare adeguate protezioni con password
Il software e l'hardware di terze parti sono spesso dotati di password generiche e misure di sicurezza predefinite a cui i criminali informatici possono accedere facilmente. Per essere conforme allo standard PCI, è necessario modificare queste password e regolare le configurazioni di base, nonché mantenere un elenco di tutti i dispositivi che richiedono una password o altri mezzi di accesso.
3. Proteggi i dati dei titolari di carta memorizzati
I dati dei titolari di carta non devono mai essere archiviati oltre il tempo necessario per finalizzare una transazione, a meno che non sia necessario per esigenze legali, normative o aziendali. Se lo storage è necessario, le aziende devono limitare al minimo i tempi di storage e conservazione, eliminando i dati almeno ogni trimestre. La conformità PCI riguarda anche il modo in cui devono essere visualizzati i numeri di conto primario (PAN), ad esempio rivelando solo le prime sei e le ultime quattro cifre.
4. Crittografare i dati trasmessi
Quando i dati dei titolari di carta vengono trasmessi attraverso reti pubbliche, questa è un'ottima opportunità per i criminali informatici di intercettarli. Questo requisito PCI stabilisce che i dati dei titolari di carta devono essere crittografati ogni volta che vengono inviati a queste posizioni note e che non dovrebbero mai essere inviati a posizioni sconosciute.
5. Utilizzare e mantenere il software antivirus
Un software antivirus come McAfee o Norton è necessario per qualsiasi dispositivo che interagisce con o memorizza PAN. Proprio come il tuo firewall, questo software deve essere aggiornato regolarmente in modo da poter correggere le vulnerabilità. Dai un'occhiata all'elenco del PC dei migliori software antivirus per il 2021.
6. Mantenere sistemi e applicazioni sicuri
Le aziende di e-commerce devono mantenere il software protetto, collaborando con i loro fornitori di software per garantire che le patch di sicurezza siano aggiornate, facilmente accessibili ed eseguibili. Oltre a distribuire tempestivamente le patch critiche, le aziende devono creare un processo per scoprire nuove vulnerabilità e classificarle. Questi aggiornamenti sono particolarmente importanti per tutti i software sui dispositivi che interagiscono o archiviano i dati dei titolari di carta.
7. Limitare l'accesso ai dati dei titolari di carta
I dati dei titolari di carta sono informazioni molto sensibili e dovrebbero essere visualizzati solo dagli agenti che ne hanno assolutamente bisogno. La maggior parte del tuo personale e di terze parti non avranno bisogno dell'accesso a queste informazioni, quindi dovrebbero essere limitate. I ruoli che necessitano dell'accesso a questi dati dovrebbero essere altamente documentati e aggiornati regolarmente.
8. Assegna ID univoci per l'accesso
Anziché disporre di un unico nome utente e password di accesso per i dati dei titolari di carta, le persone che necessitano dell'accesso devono disporre di credenziali e identificazione individuali. Ciò garantisce che ogni volta che qualcuno accede ai dati dei titolari di carta, tale attività possa essere ricondotta a un utente noto o almeno immediatamente riconosciuta come accesso non autorizzato. Per l'accesso remoto è necessaria un'autorizzazione a due fattori che fornisce un ulteriore livello di sicurezza.
9. Limitare l'accesso fisico ai dati
Tutti i dati dei titolari di carta in loco devono essere fisicamente conservati in un luogo sicuro, monitorati e richiedono registri. Devono essere messe in atto procedure per identificare rapidamente le persone che non appartengono. I backup devono anche essere mantenuti in un sito secondario sicuro. Infine, quando l'azienda non ha più bisogno dei dati, questi devono essere distrutti.
10. Reti di controllo regolarmente
La conformità PCI richiede alle aziende di e-commerce di monitorare e testare le proprie reti su base regolare per garantire che non vi siano vulnerabilità fisiche o wireless. Sono necessari audit trail automatizzati, insieme alla capacità di ricostruire gli eventi, in caso di violazione. I dati di audit devono essere protetti e mantenuti per almeno un anno.
11. Scansione e test per le vulnerabilità
Le vulnerabilità si verificano a causa di attività dei criminali informatici, malfunzionamenti, errori umani e introduzione di nuovo codice. Ciò significa che tutti i sistemi e processi interni ed esterni devono essere testati trimestralmente per garantire che la sicurezza sia mantenuta. Altri requisiti PCI DSS in corso includono test di penetrazione e l'uso di sistemi di rilevamento e prevenzione delle intrusioni. Inoltre, il monitoraggio dei file è necessario per la conformità PCI in modo che vengano generati avvisi ogni volta che un utente ha modificato contenuto, configurazione o un file di sistema in modo non autorizzato.
12. Politiche di sicurezza dei documenti
L'inventario di apparecchiature, software e dipendenti che hanno accesso ai dati dovrà essere documentato per la conformità. Devono inoltre essere documentati i registri di accesso ai dati dei titolari di carta e il modo in cui le informazioni fluiscono nella tua azienda, dove vengono archiviate e come vengono utilizzate dopo la vendita. Inoltre, è necessario nominare un individuo o un team per la creazione di iniziative di sensibilizzazione alla sicurezza e per lo screening di potenziali dipendenti, appaltatori, ecc. come parte del processo di assunzione per evitare violazioni interne dei dati.
Budget per la conformità PCI
Raggiungere e mantenere i 12 passaggi della conformità PCI costerà senza dubbio denaro. Ovviamente, quanto denaro dipenderà dal livello di conformità della tua azienda, dalle dimensioni della tua organizzazione, dalla cultura della sicurezza della tua azienda, dal tipo di tecnologia che utilizzi e dal fatto che puoi permetterti un professionista IT/PCI dedicato.
Tuttavia, poiché il costo della non conformità può essere così elevato in caso di violazione dei dati (e onestamente non è una questione di se, ma quando), vale la pena trovare il budget per farlo anche se ciò significa tagliare le spese altrove o aumentare il prezzo di alcuni prodotti temporaneamente al fine di raccogliere i soldi. Alla fine, avrai un'attività di eCommerce sicura e tranquillità per te e i tuoi clienti.
Riduci i problemi di sicurezza dei dati con The Fulfillment Lab
La tecnologia offre ai rivenditori di eCommerce molti vantaggi, dal monitoraggio dell'inventario al monitoraggio delle spedizioni, dall'elaborazione dei pagamenti alla sicurezza dei dati dei clienti. Naturalmente, l'acquisizione di questi sistemi richiede un grande investimento finanziario e c'è sempre una curva di apprendimento!
Quando scarichi l'evasione degli ordini a The Fulfillment Lab, leader nel marketing eCommerce con 14 strutture internazionali, togliti l'onere della spedizione dalle tue mani. Ridurrai anche molti dei tuoi problemi di conformità PCI perché avrai accesso al nostro software GFS (Global Fulfillment System) all'avanguardia. Questo sistema sicuro consente di monitorare l'inventario, tenere traccia delle spedizioni, personalizzare l'imballaggio ed elaborare i pagamenti. Assicurati di controllare il nostro blog, 10 motivi per utilizzare un centro logistico per la spedizione del tuo e-commerce , per ulteriori informazioni e non esitare a contattarci per saperne di più.
