Proteggere le informazioni delle carte di credito è di fondamentale importanza nell'attuale era digitale, dove sempre più spesso le transazioni finanziarie avvengono online. Poiché i consumatori affidano i loro dati sensibili di pagamento alle aziende, garantire la protezione delle informazioni relative alle carte di credito diventa una priorità fondamentale. L'accesso non autorizzato o le violazioni possono avere gravi conseguenze, tra cui perdite economiche, danni alla reputazione e responsabilità legali.

Che cos'è il PCI DSS?

Il PCI DSS (Payment Card Industry Data Security Standard) è un insieme di standard di sicurezza progettati affinché tutte le aziende che accettano, elaborano, archiviano o trasmettono informazioni relative a carte di credito riescano a garantire un ambiente sicuro.

Il PCI SSC (Payment Card Industry Security Standards Council) è stato lanciato il 7 settembre 2006 per promuovere il continuo miglioramento degli standard di sicurezza del Payment Card Industry (PCI) con particolare attenzione al miglioramento della sicurezza dei conti di pagamento durante tutto il processo di transazione. Il PCI DSS è amministrato e gestito dal PCI SSC (www.pcisecuritystandards.org), un organismo indipendente creato dai principali marchi di carte di pagamento (Visa, MasterCard, American Express, Discover e JCB).

A chi si applica il PCI DSS?

Il PCI DSS si applica a QUALSIASI azienda, indipendentemente dalle dimensioni o dal numero di transazioni, che accetta, trasmette o memorizza i dati dei titolari di carta. Quindi, ovviamente, ciò include BPO, fornitori di servizi di outsourcing e call center!

L'ottenimento della certificazione PCI DSS è un risultato importante per qualsiasi società che gestisce informazioni sulle carte di pagamento. Dimostra che l'azienda ha implementato solide misure di sicurezza per proteggere i dati sensibili dei titolari di carta e si impegna a mantenere tali misure nel tempo.

Come si può ottenere la certificazione PCI DSS?

Per ottenere la conformità PCI DSS, le aziende devono attuare una serie di controlli di sicurezza e procedure ideate per proteggere le informazioni sulle carte di pagamento. Questi controlli e procedure sono specificati nello standard PCI DSS, che delinea i requisiti in aree come: sicurezza della rete, controllo degli accessi e crittografia dei dati.

Quali sono le fasi del processo di valutazione?

Il processo di valutazione prevede diverse fasi, tra cui:

1. Ambito

Comporta la definizione dell'ambito della valutazione, che in genere include tutti i sistemi e i processi che memorizzano, elaborano o trasmettono i dati delle carte di pagamento.

2. Analisi del gap

Comporta l'identificazione di eventuali lacune tra gli attuali controlli di sicurezza dell'azienda e i requisiti PCI DSS. Eventuali lacune identificate devono essere affrontate prima che l'azienda possa diventare conforme.

3. Remediation

Questa fase riguarda l'implementazione di controlli e procedure di sicurezza per colmare eventuali lacune identificate durante l'analisi del gap.

4. Valutazione

Comporta una valutazione indipendente dei controlli e delle procedure di sicurezza dell'azienda rispetto ai requisiti PCI DSS.

5. Certificazione

Se i controlli e le procedure di sicurezza dell'azienda soddisfano tutti i requisiti PCI DSS, il QSA rilascia una certificazione che attesta che l'azienda è conforme allo standard PCI DSS.

Quali sono i requisiti ufficiali per la conformità PCI DSS?

Ci sono 12 requisiti per ottenere la conformità PCI DSS.

1. Utilizzo e manutenzione dei firewall

Installa e gestisci firewall per proteggere la rete da accessi non autorizzati.

2. Adeguate protezioni con password

Usa password complesse e cambiale regolarmente. Non utilizzare password predefinite.

3. Protezione dei dati dei titolari di carta

Mantieni al minimo e proteggi costantemente l'archiviazione dei dati dei titolari di carta. Non memorizzare dati di autenticazione sensibili dopo l'autorizzazione.

4. Crittografia dei dati trasmessi

Utilizza metodi di crittografia avanzati per proteggere i dati dei titolari di carta durante la trasmissione su reti pubbliche.

5. Utilizzo e mantenimento dell'antivirus

Installa e aggiorna regolarmente il software antivirus per proteggerti da software dannosi.

6. Aggiornamento corretto del software

Assicurati che tutto il software sia aggiornato con le patch e gli aggiornamenti di sicurezza più recenti.

7. Limitazione dell'accesso ai dati

Limita l'accesso ai dati dei titolari di carta in base alle necessità. Utilizza controlli di accesso basati sui ruoli per limitare l'accesso.

8. ID univoci per l'accesso

Assegna un ID univoco a ciascun utente con accesso ai dati dei titolari di carta.

9. Limitazione dell'accesso fisico

Proteggi i dati dei titolari di carta limitando l'accesso fisico alle aree di archiviazione e di elaborazione dei dati.

10. Creazione e gestione dei registri di accesso

Tieni registri dettagliati di tutti gli accessi ai dati dei titolari di carta, inclusi i registri delle attività dell'utente e del sistema.

11. Scansione e verifica delle vulnerabilità

Esegui regolarmente la scansione e il test delle vulnerabilità nella rete e nei sistemi.

12. Termini e condizioni dei documenti

Crea e mantenere termini, condizioni e procedure di sicurezza complete e assicurati che siano comunicate a tutto il personale interessato.

Rispettando questi 12 requisiti, l'azienda adotta le misure necessarie per controllare i dati dei titolari di carta e mantenere una rete sicura. La conformità PCI DSS non è un evento una tantum, ma un processo continuo, ed è importante rivedere e aggiornare regolarmente le misure di sicurezza per stare al passo con i rischi emergenti.

Cosa sono i livelli di conformità PCI DSS?

I livelli di conformità PCI DSS sono classificazioni che determinano i requisiti e i processi di convalida per le aziende in base al volume annuale di transazioni con carta di credito. Questi livelli sono stabiliti dai principali marchi di carte (Visa, Mastercard, American Express, Discover e JCB) per garantire misure di sicurezza coerenti in tutto il settore delle carte di pagamento. I livelli di conformità PCI DSS sono i seguenti:

• Livello 1

Questo è il livello di conformità più elevato e si applica alle aziende che elaborano oltre 6 milioni di transazioni con carta all'anno o a quelle identificate come entità ad alto rischio dai marchi di carte. I commercianti di livello 1 devono sottoporsi a una valutazione annuale in loco da parte di un valutatore della sicurezza qualificato (QSA) e presentare un rapporto sulla conformità (ROC) ai marchi di carte.

• Livello 2

Il livello 2 si applica alle aziende che elaborano tra 1 milione e 6 milioni di transazioni con carta all'anno. I commercianti in questo caso devono compilare annualmente un questionario di autovalutazione (SAQ), condurre scansioni trimestrali delle vulnerabilità da parte di un fornitore di scansione approvato (ASV) e presentare un attestato di conformità (AOC) alla loro banca acquirente.

• Livello 3

Questo livello si applica alle aziende che elaborano tra 20.000 e 1 milione di transazioni elettroniche all'anno. I commercianti di livello 3 devono completare un SAQ annuale e condurre scansioni trimestrali delle vulnerabilità da parte di un ASV. Presentano inoltre un COA alla loro banca acquirente.

• Livello 4

Questo livello si applica alle aziende che elaborano meno di 20.000 transazioni di e-commerce all'anno o fino a 1 milione di transazioni con carta all'anno attraverso altri canali. Gli esercenti di livello 4 devono completare un SAQ ogni anno e potrebbero dover eseguire scansioni trimestrali della vulnerabilità in base ai requisiti della loro banca acquirente.

È importante notare che i requisiti di convalida specifici possono variare in base al marchio della carta e all'acquirente (ovvero l'istituto finanziario che consente i pagamenti con carta). I commercianti devono consultare il proprio acquirente per determinare il livello di conformità appropriato e i corrispondenti requisiti di convalida.

PCI DSS e We Are Fiber

We Are Fiber è orgogliosa di annunciare di essere in possesso della certificazione di conformità PCI DSS, che testimonia il nostro costante impegno a mantenere i più alti standard di sicurezza dei dati nei nostri servizi di outsourcing di call center e BPO.

Come ha fatto We Are Fiber ad ottenere questa certificazione?

• Protezione dei dati sensibili delle carte di pagamento

In We Are Fiber comprendiamo l'importanza fondamentale di proteggere le informazioni sensibili delle carte di pagamento. In qualità di fornitore affidabile di servizi di assistenza clienti, riconosciamo che i nostri clienti dipendono da noi per salvaguardare i dati di pagamento dei loro clienti. Con la nostra certificazione di conformità PCI DSS, i nostri clienti possono essere certi che stiamo seguendo i protocolli e le procedure di sicurezza più rigorosi per mantenere i dati di pagamento dei loro clienti sicuri e protetti.

• Servizi di assistenza clienti

Oltre al nostro impegno per la sicurezza dei dati, We Are Fiber è orgoglioso della qualità dei suoi servizi di assistenza clienti. I nostri team di professionisti altamente qualificati sono dedicati a fornire servizi di assistenza clienti di prim'ordine che soddisfano i più alti standard di qualità. Crediamo che la soddisfazione del cliente sia la chiave per il successo e ci impegniamo per garantirla.

• Regolari controlli di qualità delle attività

Per fornire costantemente servizi di assistenza clienti di alta qualità, conduciamo regolari controlli di qualità delle nostre attività. Questi audit ci consentono di identificare le aree di miglioramento e apportare modifiche per migliorare continuamente i nostri servizi. Il nostro impegno per la qualità si riflette anche nella nostra certificazione ISO 9001:2015, che dimostra la nostra adesione a un rigoroso sistema di gestione della qualità.

Per terminare...

la sicurezza dei dati e un’assistenza clienti di qualità sono componenti essenziali dei nostri servizi di call center e BPO outsourcing. La nostra certificazione di conformità PCI DSS e altre importanti certificazioni come ISO 9001:2015 sono la prova del nostro impegno nel fornire ai nostri clienti servizi eccezionali che soddisfino i più elevati standard di sicurezza e qualità.

We Are Fiber continuerà a dare priorità alla sicurezza dei dati e a un’assistenza clienti di qualità in tutte le operazioni. Ci impegniamo a soddisfare le esigenze in continua evoluzione dei nostri clienti e a fornire loro servizi eccezionali che superano le aspettative.