Pagamenti elettronici certificati

Lo standard di sicurezza PCI-DSS viene applicato negli ambienti bancari per garantire la sicurezza delle transazioni con carte di credito.
Si tratta di uno strumento importante per definire linee guida e politiche di sicurezza specifiche del settore, condurre verifiche di sicurezza e conformità sul proprio network e certificare l’affidabilità della propria infrastruttura di gestione dati.
 

Tutti gli esercenti e i provider di servizi relativi a pagamenti con carta di credito devono garantire la conformità ai controlli dello standard PCI-DSS. 

L’obiettivo primario dello standard PCI-DSS è garantire la protezione del Cardholder data environment (CDE), vale a dire l’insieme delle informazioni riguardanti il titolare della carta, le quali presentano un elevato profilo di sensibilità.

Si tratta di informazioni personali concernenti l’individuo e relative a:

  • Posizione patrimoniale;
  • Stato dei pagamenti;
  • Dettagli delle transazioni;
  • Dettagli di autenticazione.

Rientra nel perimetro di analisi e di applicazione dello standard qualsiasi elemento del sistema (server, applicazione, apparato) che sia connesso al trattamento di tali informazioni.

Lo standard PCI-DSS si compone di 12 requirements, che i domini di analisi entro cui sono definiti gli obiettivi di controllo a cui deve rispondere il sistema informativo.

Il nostro PCI Compliance Assessment è strutturato in 5 step operativi:

Definizione scope. Viene definito l’ambito di inclusione, insieme agli obiettivi attesi, agli aspetti organizzativi e logistici dell’assessment.

Mappatura dei Cardholder Data. Viene analizzato l’insieme delle informazioni trattate, per delimitarne il perimetro e classificarne la rilevanza.

Analisi dei sistemi. I sistemi sono sottoposti ad analisi di vulnerabilità e sicurezza.

Analisi dei processi e delle policy di sicurezza. I processi e le policy di sicurezza sono sottoposte a verifica di conformità.

Rapporto di analisi. Viene redatto un rapporto che illustra tutte le evidenze rilevate ed espone i risultati delle analisi di sicurezza.

Il Cliente viene poi affiancato nel percorso necessario ad ottenere eventualmente la certificazione PCI-DSS, se richiesto dal suo business.