Cosa serve per proteggere le informazioni sulla carta di credito sul web?
Riprendiamo un argomento ampiamente trattato nel 2014 ma sempre più di attualità.
Gli acquisti avvengono con il clic di un pulsante, con un dito o semplicemente senza interazione umana.
Che si tratti del nostro abbonamento mensile a Netflix, dei biglietti aerei che sono appena andati in vendita in flash, o del libro che abbiamo acquistato con la spedizione Prime, la nostra richiesta di immediatezza e automazione ha messo le nostre informazioni sulla carta di credito in tutto il web.
Anche se spaventoso nel contesto, il Payment Card Industry Security Standards Council ha sviluppato una serie di standard di sicurezza dei dati che gli esercenti che memorizzano informazioni sulle carte di credito sui server devono rispettare.
Fortunatamente, le modalità di hosting che utilizziamo, contiene lo stato dell'arte per garantire una maggiore sicurezza delle informazioni, la protezione delle informazioni dei nostri clienti e la sicurezza delle transazioni sul web.
Cos' è la conformità PCI?
Istituito dai principali fornitori di carte di credito Visa, MasterCard, Discover e JCB International, il Payment Card Industry Security Standards Council è stato lanciato nel 2006 come organismo indipendente per focalizzarsi e fornire consulenza sul panorama in rapida evoluzione del processo di transazione di pagamento.
Ne è risultata una serie organica di criteri, con dodici principi principali, chiamati Payment Card Industry Data Security Standards (PCI DSS).
I 12 principi
Gli acquisti avvengono con il clic di un pulsante, con un dito o semplicemente senza interazione umana.
Che si tratti del nostro abbonamento mensile a Netflix, dei biglietti aerei che sono appena andati in vendita in flash, o del libro che abbiamo acquistato con la spedizione Prime, la nostra richiesta di immediatezza e automazione ha messo le nostre informazioni sulla carta di credito in tutto il web.
Anche se spaventoso nel contesto, il Payment Card Industry Security Standards Council ha sviluppato una serie di standard di sicurezza dei dati che gli esercenti che memorizzano informazioni sulle carte di credito sui server devono rispettare.
Fortunatamente, le modalità di hosting che utilizziamo, contiene lo stato dell'arte per garantire una maggiore sicurezza delle informazioni, la protezione delle informazioni dei nostri clienti e la sicurezza delle transazioni sul web.
Cos' è la conformità PCI?
Istituito dai principali fornitori di carte di credito Visa, MasterCard, Discover e JCB International, il Payment Card Industry Security Standards Council è stato lanciato nel 2006 come organismo indipendente per focalizzarsi e fornire consulenza sul panorama in rapida evoluzione del processo di transazione di pagamento.
Ne è risultata una serie organica di criteri, con dodici principi principali, chiamati Payment Card Industry Data Security Standards (PCI DSS).
I 12 principi
- Installare/mantenere la configurazione firewall che proteggerà i dati del titolare della carta
- Non utilizzare le impostazioni predefinite fornite dal fornitore per le password di sistema o altri parametri di sicurezza.
- Molti switch/router (cioè wireless)/applicazioni hanno un account amministratore predefinito, che utilizza una password predefinita. Rimuovere se possibile, o almeno cambiare la password a qualcosa di molto complesso
- Proteggere i dati memorizzati del titolare della carta
- Disattivare l' accesso diretto alla radice. Un semplice file di configurazione che si trova in una directory accessibile al pubblico può comunque causare problemi, anche se i permessi sulla directory proibiscono l' accesso diretto. Conservare i dati in un database è un ulteriore livello di sicurezza, specialmente se criptato e accelerato.
- Crittografia della trasmissione dei dati dei titolari di carta su reti pubbliche aperte
- Mantenere al minimo i dati dei titolari di carta inviati attraverso le reti e crittografare con la massima precisione possibile
- Utilizzare e aggiornare regolarmente software antivirus
- Il database antivirus deve essere aggiornato per garantire che tutte le minacce create/riparate dopo l' ultimo aggiornamento manuale possano essere rilevate.
- Sviluppare/Mantenere sistemi e applicazioni sicuri
- Limitare l' accesso ai dati del titolare della carta
- Le macchine che contengono informazioni sulla carta devono essere disponibili solo sulla rete privata e per l' accesso è necessaria un' autenticazione a due fattori o un livello di sicurezza superiore.
- Assegnare un ID univoco a ciascuna persona con accesso al computer
- Limitare l' accesso fisico ai dati del titolare della carta
- Traccia/monitorare tutti gli accessi alle risorse di rete e ai dati dei titolari di carta
- Controlla frequentemente i registri di accesso.
- Testare regolarmente sistemi e processi di sicurezza
- Mantenere una politica che si occupi della sicurezza delle informazioni
- Creare un sistema di policy interne per garantire la corretta gestione delle informazioni protette.
- —