PCI 

Conformità PCI 

 La sicurezza dell’e-commerce è una priorità per TPL. Per garantire questo, siamo orgogliosi di essere pienamente conformi agli standard PCI DSS. Nel continuo impegno per preservare l’integrità delle informazioni personali, il PCI Security Standards Council ha stabilito una serie di regolamenti che le aziende online devono seguire per garantire la sicurezza degli acquisti online. TPL ha soddisfatto e superato tutti gli standard definiti dal PCI Security Standards Council con grande successo – abbiamo dimostrato che la nostra gestione della sicurezza, le nostre politiche di sicurezza, l’architettura della rete e il design del nostro software sono protetti e privi di vulnerabilità che potrebbero compromettere le vostre vendite online. 

Cos'è la conformità PCI? 

Il Payment Card Industry Data Security Standard (PCI DSS) è un insieme di politiche e procedure ampiamente riconosciute, progettate per ottimizzare la sicurezza delle transazioni con carte di credito, debito e prepagate e per proteggere i titolari di carta dall’uso improprio delle loro informazioni personali. Il PCI DSS è stato creato congiuntamente nel 2004 da quattro grandi aziende di carte di credito: Visa, MasterCard, Discover e American Express. 

 Il PCI DSS specifica e sviluppa sei obiettivi principali. 

 In primo luogo, è necessario mantenere una rete sicura in cui poter effettuare le transazioni. Questo requisito comporta l’uso di firewall abbastanza robusti da essere efficaci senza causare eccessivi disagi ai titolari di carta o ai commercianti. Sono disponibili firewall specializzati per le reti wireless (Wi-Fi), che sono particolarmente vulnerabili alle intercettazioni e agli attacchi di hacker malintenzionati. Inoltre, i dati di autenticazione, come numeri di identificazione personale (PIN) e password, non devono essere valori predefiniti forniti dai fornitori. I clienti devono poter modificare comodamente e frequentemente questi dati. 

 In secondo luogo, le informazioni dei titolari di carta devono essere protette ovunque siano archiviate. Le banche dati contenenti informazioni sensibili, come date di nascita, cognomi da nubile delle madri, numeri di previdenza sociale, numeri di telefono e indirizzi postali, devono essere protette dagli attacchi informatici. Quando i dati dei titolari di carta vengono trasmessi tramite reti pubbliche, devono essere criptati in modo efficace. La crittografia digitale è essenziale per tutte le forme di transazioni con carta di credito, ma in particolare per l’e-commerce su Internet. 

 In terzo luogo, i sistemi devono essere protetti dalle attività di hacker malintenzionati attraverso l’uso di software antivirus aggiornato frequentemente, programmi anti-spyware e altre soluzioni anti-malware. Tutte le applicazioni devono essere prive di bug e vulnerabilità che potrebbero essere sfruttate per rubare o alterare i dati dei titolari di carta. Le patch di sicurezza fornite dai fornitori di software e sistemi operativi devono essere installate regolarmente per garantire il massimo livello possibile di protezione contro le vulnerabilità. 

 In quarto luogo, l’accesso alle informazioni e alle operazioni di sistema deve essere limitato e controllato. I titolari di carta non dovrebbero dover fornire informazioni alle aziende a meno che tali informazioni non siano necessarie per proteggere le transazioni e garantire la loro corretta esecuzione. Ogni persona che utilizza un computer all’interno del sistema deve avere un nome o un numero di identificazione univoco e riservato. I dati dei titolari di carta devono essere protetti sia fisicamente che elettronicamente. Esempi di protezione fisica includono l’uso di distruggi-documenti, la riduzione della duplicazione inutile di documenti cartacei e l’uso di serrature e catene sui cassonetti per scoraggiare i criminali che potrebbero cercare informazioni nei rifiuti. 

 In quinto luogo, le reti devono essere costantemente monitorate e testate regolarmente per garantire che tutte le misure e i processi di sicurezza siano in atto, funzionino correttamente e siano sempre aggiornati. Ad esempio, i programmi antivirus e anti-spyware devono essere costantemente aggiornati con le ultime definizioni e firme. Questi programmi devono scansionare frequentemente, se non continuamente, tutti i dati scambiati, le applicazioni, la memoria ad accesso casuale (RAM) e tutti i supporti di archiviazione. 

 In sesto luogo, una politica formale di sicurezza delle informazioni deve essere definita,mantenuta e rispettata in ogni momento da tutte le entità coinvolte. Potrebbero essere necessarie misure di applicazione, come audit e sanzioni per la mancata conformità.