Stripe logo
Articles
0 Comments

Stripe logo

Dal 2005, oltre 11 miliardi di record dei consumatori sono stati compromessi da oltre 8.500 violazioni dei dati. Questi sono gli ultimi numeri della Privacy Rights Clearinghouse, che riporta violazioni dei dati e violazioni della sicurezza che colpiscono i consumatori risalenti al 2005.

Per migliorare la sicurezza dei dati dei consumatori e la fiducia nell’ecosistema dei pagamenti, è stato creato uno standard minimo per la sicurezza dei dati. Visa, Mastercard, American Express, Discover e JCB hanno costituito il Payment Card Industry Security Standards Council (PCI SSC) nel 2006 per amministrare e gestire gli standard di sicurezza per le aziende che gestiscono i dati delle carte di credito. Prima che il PCI SSC fosse istituito, queste cinque società di carte di credito avevano tutti i propri programmi di standard di sicurezza, ognuno con requisiti e obiettivi approssimativamente simili. Si sono uniti attraverso il PCI SSC per allinearsi su una politica standard, gli standard di sicurezza dei dati PCI (noti come PCI DSS) per garantire un livello di base di protezione per i consumatori e le banche nell’era di Internet.

Comprendere PCI DSS può essere complesso e impegnativo

Se il modello di business richiede di gestire i dati della scheda, potrebbe essere necessario soddisfare ciascuno dei 300+ controlli di sicurezza in PCI DSS. Ci sono oltre 1.800 pagine di documentazione ufficiale, pubblicate dal PCI Council, su PCI DSS, e oltre 300 pagine solo per capire quali moduli utilizzare per convalidare la conformità. Questo richiederebbe oltre 72 ore solo per leggere.

Per alleviare questo onere, la seguente è una guida passo passo per convalidare e mantenere la conformità PCI.

Panoramica di PCI Data Security Standard (PCI DSS)

PCI DSS è lo standard di sicurezza globale per tutte le entità che memorizzano, elaborano o trasmettono dati dei titolari di carta e/o dati di autenticazione sensibili. PCI DSS stabilisce un livello di base di protezione per i consumatori e aiuta a ridurre le frodi e le violazioni dei dati in tutto l’ecosistema dei pagamenti. È applicabile a qualsiasi organizzazione che accetta o elabora carte di pagamento.

La conformità PCI DSS coinvolge 3 cose principali:

  1. Gestione l’ingresso di dati di carte di credito da parte di clienti, vale a dire, che sensibile scheda di dati vengono raccolti e trasmessi in modo sicuro
  2. Memorizzare i dati in modo sicuro, che è descritto in 12 domini di protezione del PCI standard, come la crittografia, un continuo monitoraggio e test di sicurezza di accesso ai dati della carta di
  3. Convalida annualmente che i controlli in tema di sicurezza, che possono includere moduli, questionari, vulnerabilità esterna servizi di scansione e 3 ° audit di parte seconda (vedere la guida passo passo qui di seguito per un tavolo con quattro livelli di requisiti)

Gestione dei dati della carta

Alcuni modelli di business richiedono la gestione diretta dei dati sensibili della carta di credito quando accettano pagamenti, mentre altri no. Le aziende che hanno bisogno di gestire i dati della carta (ad esempio, accettando padelle non coperte su una pagina di pagamento) potrebbero essere tenute a soddisfare ciascuno dei controlli di sicurezza 300+ in PCI DSS. Anche se i dati della carta attraversano solo i suoi server per un breve momento, l’azienda avrebbe bisogno di acquistare, implementare e mantenere software e hardware di sicurezza.

Se un’azienda non ha bisogno di gestire dati sensibili della carta di credito, non dovrebbe. Soluzioni di terze parti (ad esempio, Stripe Elements) accettano e memorizzano in modo sicuro i dati, eliminando notevoli complessità, costi e rischi. Dal momento che i dati della carta non tocca mai i suoi server, l’azienda avrebbe solo bisogno di confermare 22 controlli di sicurezza, la maggior parte dei quali sono semplici, come l’utilizzo di password complesse.

Archiviazione sicura dei dati

Se un’organizzazione gestisce o memorizza i dati delle carte di credito, deve definire l’ambito del proprio Cardholder Data Environment (CDE). PCI DSS definisce CDE come le persone, i processi e le tecnologie che memorizzano, elaborano o trasmettono i dati delle carte di credito o qualsiasi sistema ad esso collegato. Poiché tutti i requisiti di sicurezza 300 + in PCI DSS si applicano a CDE, è importante segmentare correttamente l’ambiente di pagamento dal resto dell’azienda in modo da limitare l’ambito della convalida PCI. Se un’organizzazione non è in grado di contenere l’ambito CDE con segmentazione granulare, i controlli di sicurezza PCI si applicano a tutti i sistemi, laptop e dispositivi della rete aziendale. Accidenti!

Convalida annuale

Indipendentemente dal modo in cui vengono accettati i dati delle carte, le organizzazioni devono compilare un modulo di convalida PCI ogni anno. Il modo in cui la conformità PCI viene convalidata dipende da una serie di fattori, che sono descritti di seguito. Qui ci sono 3 scenari in cui un’organizzazione potrebbe essere chiesto di dimostrare che è PCI compliant:

  • processori di Pagamento può essere richiesto come parte del loro richiesto di reporting per i marchi di carte di pagamento
  • Business partner può essere richiesto come prerequisito per entrare in accordi commerciali
  • piattaforma Per le imprese (quelle la cui tecnologia facilita le transazioni online tra più insiemi distinti di utenti), il cliente potrà richiedere a mostrare i loro clienti che trattano i dati in modo sicuro

L’ultima serie di standard di sicurezza, PCI DSS versione 3.2.1, include 12 requisiti principali con oltre 300 sotto-requisiti che rispecchiano le migliori pratiche di sicurezza.

    Costruire e mantenere una rete sicura e sistemi

  1. Installare e gestire una configurazione firewall per proteggere i dati di titolari di carte
  2. non uso fornito dal produttore di default per le password di sistema e altri parametri di sicurezza

    3. Proteggere i dati di titolari di carte

  3. Proteggere memorizzati dati del titolare della carta
  4. Crittografare la trasmissione dei dati del titolare della carta in tutta aperta o di reti pubbliche

    5. Mantenere un programma di gestione delle vulnerabilità

  5. Proteggere tutti i sistemi contro malware e aggiornare regolarmente il software antivirus
  6. Sviluppare e mantenere sicuro sistemi e applicazioni

    7. Implementare forti misure di controllo

  7. Limitare l’accesso ai dati del titolare della carta di business bisogno di sapere
  8. Identificare e autenticare l’accesso ai componenti di sistema
  9. Limitare l’accesso fisico ai dati del titolare della carta

    10. Regolarmente monitorare e testare reti

  10. Traccia e monitorare tutti gli accessi alle risorse di rete e dati del titolare della carta
  11. Regolarmente test di sistemi e processi di sicurezza

    12. Mantenere una politica di sicurezza delle informazioni

  12. Mantenere una politica che indirizzi la sicurezza delle informazioni per tutti personale

Per rendere “più facile” per le nuove imprese convalidare la conformità PCI, il PCI Council ha creato nove diversi moduli o questionari di autovalutazione (SAQS) che sono un sottoinsieme dell’intero requisito PCI DSS. Il trucco è capire quale è applicabile o se è necessario assumere un auditor approvato dal Consiglio PCI per verificare che ogni requisito di sicurezza PCI DSS sia stato soddisfatto. Inoltre, il Consiglio PCI rivede le regole ogni tre anni e rilascia aggiornamenti incrementali durante tutto l’anno, aggiungendo una complessità ancora più dinamica.

Guida passo passo alla conformità PCI DSS v3.2.1

Il primo passo per ottenere la conformità PCI è sapere quali requisiti si applicano alla propria organizzazione. Ci sono quattro diversi livelli di conformità PCI, in genere in base al volume di transazioni con carta di credito che i processi aziendali durante un periodo di 12 mesi.

Si applica ai requisiti
Livello 1
  1. Organizzazioni che elaborano annualmente più di 6 milioni di transazioni di Visa o MasterCard o più di 2.5 milioni per American Express; o
  2. Hanno subito una violazione dei dati; o
  3. Sono considerati di “Livello 1” da qualsiasi scheda di associazione (Visa, Mastercard, ecc)
  1. Relazione Annuale sulla Conformità (ROC) da Qualified Security Assessor (QSA)—anche comunemente noto come Livello 1 accertamento—o revisore interno se firmato da un funzionario dell’azienda
  2. Trimestrale scansione di rete tramite Approvato una Scansione del Fornitore (ASV)
  3. Attestazione di Conformità (AOC) per Valutazioni in Loco–ci sono moduli specifici per i commercianti e fornitori di servizi
Livello 2 Organizzazioni che, tra 1-6 milioni di transazioni all’anno
  1. Annuale PCI DSS Questionario di autovalutazione (SAQ)—ci sono 9 SAQ tipi illustrato brevemente nella tabella sotto
  2. Trimestrale scansione di rete tramite Approvato una Scansione del Fornitore (ASV)
  3. Attestazione di Conformità (AOC)—ogni 9 questionari saq ha un rispettivo AOC forma
Livello 3
  1. le Organizzazioni che elaborano tra 20.000-1 milione di transazioni online annualmente
  2. alle Organizzazioni che meno di 1 milioni di transazioni all’anno
Livello 4
  1. le Organizzazioni che elaborano meno di 20.000 transazioni online annualmente; o
  2. alle Organizzazioni che fino a 1 milioni di transazioni all’anno

Per il Livello 2-4, ci sono diversi SAQ tipi, a seconda di pagamento metodo di integrazione. Ecco una breve tabella:

SAQ Descrizione
Un

Card-not-present i commercianti (e-commerce o e-mail/telefono-ordine), che sono completamente in outsourcing tutti i dati del titolare della carta funzioni di conformità PCI DSS terzi fornitori di servizi, senza elettronica, l’archiviazione, il trattamento, o trasmissione di dati del titolare della carta su di un commerciante di sistemi o locali.

Non applicabile ai canali faccia a faccia.
A-EP

Commercianti di e-commerce che esternalizzano tutta l’elaborazione dei pagamenti a terze parti convalidate PCI DSS e che dispongono di un sito Web che non riceve direttamente i dati del titolare della carta ma che può influire sulla sicurezza della transazione di pagamento. Nessuna archiviazione elettronica, elaborazione o trasmissione di dati del titolare della carta sui sistemi o locali del commerciante.

Applicabile solo ai canali di e-commerce.
B

I commercianti che utilizzano solo:

  • Macchine per la stampa senza memorizzazione elettronica dei dati del titolare della carta, e/o
  • Terminali autonomi, dial-out senza memorizzazione elettronica dei dati del titolare della carta.

Non applicabile ai canali di e-commerce.
B-IP

Commercianti che utilizzano solo terminali di pagamento standalone approvati da PTS con connessione IP al processore di pagamento senza archiviazione elettronica dei dati del titolare della carta.

Non applicabile ai canali di e-commerce.
C-VT

Commercianti che immettono manualmente una singola transazione alla volta tramite una tastiera in una soluzione di terminale di pagamento virtuale basata su Internet fornita e ospitata da un provider di servizi di terze parti convalidato PCI DSS. Nessuna archiviazione elettronica dei dati del titolare della carta.

Non applicabile ai canali di e-commerce.
C

Commercianti con sistemi di applicazione di pagamento connessi a Internet, senza archiviazione elettronica dei dati del titolare della carta.

Non applicabile ai canali di e-commerce.
P2PE

Commercianti che utilizzano solo terminali di pagamento hardware inclusi e gestiti tramite una soluzione di crittografia Point-to-Point (P2PE) convalidata PCI SSC, senza archiviazione elettronica dei dati del titolare della carta.

Non applicabile ai commercianti di e-commerce.
D

SAQ D per i commercianti: Tutti i commercianti non inclusi nelle descrizioni per i tipi di SAQ di cui sopra.

SAQ D per i fornitori di servizi: tutti i fornitori di servizi definiti da un marchio di pagamento come idonei a completare un SAQ.

Per selezionare i documenti SAQ e attestazione che meglio si applicano all’organizzazione, il diagramma di flusso a pagina 18 di questo documento PCI può aiutare.

I requisiti PCI DSS cambiano nel tempo, quindi uno dei modi migliori per ottenere aggiornamenti sui nuovi o mutevoli requisiti di certificazione e su come soddisfarli è diventare un’organizzazione partecipante PCI (PO).

Mappa i flussi di dati

Prima di poter proteggere i dati sensibili della carta di credito, è necessario sapere dove vive e come arriva. Ti consigliamo di creare una mappa completa dei sistemi, delle connessioni di rete e delle applicazioni che interagiscono con i dati delle carte di credito in tutta l’organizzazione. A seconda del tuo ruolo, probabilmente dovrai lavorare con i tuoi team IT e di sicurezza per farlo.

  • Innanzitutto, identifica ogni area del business rivolta ai consumatori che coinvolge le transazioni di pagamento. Ad esempio, è possibile accettare pagamenti tramite un carrello della spesa online, terminali di pagamento in negozio o ordini effettuati per telefono.
  • Successivamente, individuare i vari modi in cui i dati del titolare della carta vengono gestiti in tutta l’azienda. È importante sapere esattamente dove sono memorizzati i dati e chi ha accesso ad essi.
  • Quindi, identificare i sistemi interni o le tecnologie sottostanti che toccano le transazioni di pagamento. Ciò include i sistemi di rete, i data center e gli ambienti cloud.

Verifica controlli e protocolli di sicurezza

Una volta mappati tutti i potenziali punti di contatto per i dati delle carte di credito nell’organizzazione, collabora con i team IT e di sicurezza per garantire che siano presenti le configurazioni e i protocolli di sicurezza corretti (vedi l’elenco dei 12 requisiti di sicurezza per PCI DSS sopra). Questi protocolli sono progettati per proteggere la trasmissione dei dati, come Transport Layer Security (TLS).

I 12 requisiti di sicurezza per PCI DSS v3.2.1 derivano dalle best practice per la protezione dei dati sensibili per qualsiasi azienda. Diversi si sovrappongono a quelli necessari per soddisfare GDPR, HIPAA e altri mandati sulla privacy, quindi alcuni di essi potrebbero già essere in vigore nella tua organizzazione.

Monitorare e mantenere

È importante notare che la conformità PCI non è un evento una tantum. È un processo continuo per garantire che la tua azienda rimanga conforme anche con l’evoluzione dei flussi di dati e dei punti di contatto dei clienti. Alcuni marchi di carte di credito potrebbero richiedere di presentare relazioni trimestrali o annuali o di completare una valutazione annuale in loco per convalidare la conformità in corso, in particolare se si elaborano oltre 6 milioni di transazioni ogni anno.

La gestione della conformità PCI durante tutto l’anno (e anno su anno) richiede spesso supporto e collaborazione tra dipartimenti. Se questo non esiste già, potrebbe essere utile creare un team dedicato internamente per mantenere correttamente la conformità. Mentre ogni azienda è unica, un buon punto di partenza per un “team PCI” includerebbe la rappresentazione da quanto segue:

  • Sicurezza: il Chief Security Officer (CSO), il Chief Information Security Officer (CISO) e i loro team assicurano che l’organizzazione stia sempre investendo correttamente nelle necessarie risorse e politiche per la sicurezza e la privacy dei dati.
  • Tecnologia / Pagamenti: il Chief Technology Officer (CTO), VP dei pagamenti e i loro team si assicurano che gli strumenti, le integrazioni e l’infrastruttura di base rimangano conformi all’evoluzione dei sistemi dell’organizzazione.
  • Finanza: il Chief Financial Officer (CFO) e il loro team assicurano che tutti i flussi di dati di pagamento siano contabilizzati quando si tratta di sistemi di pagamento e partner.
  • Legale: Questo team può aiutare a navigare le molte sfumature legali della conformità PCI DSS.

Per ulteriori informazioni sul complesso mondo della conformità PCI, visita il sito web del PCI Security Standards Council. Se leggi solo questa guida e alcuni altri documenti PCI, ti consigliamo di iniziare con questi: approccio prioritario per PCI DSS, istruzioni e linee guida SAQ, FAQ sull’utilizzo dei criteri di idoneità SAQ per determinare i requisiti di valutazione in loco e FAQ sugli obblighi per i commercianti che sviluppano app per dispositivi consumer che accettano i dati delle carte di pagamento.

Come Stripe aiuta le organizzazioni a raggiungere e mantenere la conformità PCI

Stripe semplifica notevolmente l’onere PCI per le aziende che si integrano con Checkout, Elements, SDK mobili e SDK terminali. Stripe Checkout e Stripe Elements utilizzano un campo di pagamento ospitato per gestire tutti i dati della carta di pagamento, quindi il titolare della carta inserisce tutte le informazioni di pagamento sensibili in un campo di pagamento che proviene direttamente dai nostri server convalidati PCI DSS. Gli SDK per dispositivi mobili e terminali Stripe consentono inoltre al titolare della carta di inviare informazioni di pagamento sensibili direttamente ai nostri server convalidati PCI DSS.

Con metodi di accettazione delle carte più sicuri come questi, popoleremo il modulo PCI (SAQ) nella dashboard Stripe, rendendo la convalida PCI facile come fare clic su un pulsante. Per le organizzazioni più piccole questo può salvare centinaia di ore di lavoro, per quelli più grandi questo può salvare migliaia.

Per tutti i nostri utenti, indipendentemente dal tipo di integrazione, Stripe agisce come un sostenitore PCI e può aiutare in diversi modi.

  • Analizzeremo il tuo metodo di integrazione e ti consiglieremo su quale modulo PCI utilizzare e come ridurre il tuo onere di conformità.
  • Ti informeremo in anticipo se un volume crescente di transazioni richiederà una modifica nel modo in cui convalidi la conformità.
  • Per i grandi commercianti (livello 1), forniamo un pacchetto PCI che può ridurre il tempo di convalida PCI da mesi a giorni. Se hai bisogno di lavorare con un PCI QSA (perché memorizzi i dati della carta di credito o hai un flusso di pagamento più complesso), ci sono oltre 350 società QSA in tutto il mondo e possiamo connetterti con diversi auditor che comprendono profondamente i diversi metodi di integrazione di Stripe.
Visto il Livello Media audit tempo (stime annuali) Media audit tempo con Striscia Elementi, Checkout o Mobile SDK (stime annuali)
Livello 1 3-5 mesi 2-5 giorni
Livello 2 1-3 mesi 0 giorni
Livello 3 1-3 mesi 0 giorni
Livello 4 1-3 mesi 0 giorni

Per ulteriori informazioni su come Striscia aiuta a proteggere il tuo i dati dei clienti e raggiungere la conformità PCI, controlla i nostri documenti sulla sicurezza dell’integrazione.

Conclusione

Valutare e convalidare la conformità PCI di solito avviene una volta all’anno, ma la conformità PCI non è un evento una tantum: è uno sforzo continuo e sostanziale di valutazione e correzione. Man mano che un’azienda cresce, anche la logica e i processi di core business si evolveranno, il che significa che anche i requisiti di conformità si evolveranno. Un business online, ad esempio, può decidere di aprire negozi fisici, entrare in nuovi mercati o avviare un centro di assistenza clienti. Se qualcosa di nuovo riguarda i dati delle carte di pagamento, è una buona idea verificare in modo proattivo se ciò ha un impatto sul metodo di convalida PCI e convalidare nuovamente la conformità PCI se necessario.

La conformità PCI aiuta. Non e ‘ abbastanza.

L’aderenza alle linee guida PCI DSS è un livello di protezione necessario per la tua azienda, ma non è sufficiente. PCI DSS stabilisce standard importanti per la gestione e la memorizzazione dei dati dei titolari di carta, ma di per sé non fornisce una protezione sufficiente per ogni ambiente di pagamento. Invece, passare a un metodo di accettazione delle carte più sicuro (come Stripe Checkout, Elements e SDK mobili) è un modo molto più efficace per proteggere la tua organizzazione. Il vantaggio di lunga data che questo fornisce è che non è necessario fare affidamento sugli standard di base del settore o preoccuparsi del potenziale fallimento dei controlli di sicurezza. Questo approccio offre alle aziende agili un modo per mitigare una potenziale violazione dei dati ed evitare l’approccio storico emotivo, dispendioso in termini di tempo e costoso alla convalida PCI. Per non parlare, un metodo di integrazione più sicuro è affidabile ogni singolo giorno dell’anno.

Torna alle guide

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

More: