Questa certificazione conferma la sicurezza della carta di pagamento
La conformità al PCI DSS (Payment Card Industry Data Security Standard) è obbligatoria per tutte le organizzazioni che processano, trasmettono o mantengono i dati delle carte di pagamento ed è richiesta dalle banche di tutto il mondo. Questo standard internazionale specifica come gestire correttamente le informazioni per tenerle al sicuro. La certificazione PCI DSS aumenterà la credibilità della vostra azienda agli occhi di clienti e partner commerciali.
In TAYLLORCOX, lavoriamo da anni con la sicurezza delle carte di pagamento. Offriamo la certificazione PCI DSS come una delle poche aziende italiane e forniamo anche un mix unico di vantaggi:
Perché ottenere la certificazione PCI DSS?
Aderendo allo standard PCI BSS, adempirete all'obbligo nei confronti di tutti i commercianti e fornitori di servizi e confermerete il vostro impegno con la successiva certificazione. Entrambi porteranno una serie di vantaggi alla vostra azienda:
Costruirete un sistema sicuro che protegge in modo affidabile i dati dei titolari di carta.
Rafforzerete la fiducia dei vostri clienti e la probabilità che continueranno a raccomandarvi. Renderete più facile entrare nel mondo dei sistemi di pagamento.
Sarete un partner più affidabile per i vostri clienti, fornitori e altre parti interessate.
Eliminerete il rischio di spese finanziarie straordinarie, che potrebbero derivare, ad esempio, dall'uso improprio dei dati della carta per frode.
Migliorerete la cooperazione con la banca di elaborazione.
Ridurrete il costo di qualsiasi contenzioso.
Processo di certificazione PCI DSS in 3 fasi
In TAYLLORCOX abbiamo sviluppato un processo di certificazione unico in 3 passi che ci permette di procedere con velocità ed efficienza senza pari.
Trasmetteremo ai vostri dipendenti le conoscenze necessarie per la certificazione.
Il primo passo è il corso PCI DSS Intro, in cui acquisirete conoscenza degli standard per il trasferimento sicuro dei dati sulle carte di pagamento e acquisirete familiarità con gli strumenti per progettare e costruire un ambiente PCI DSS "certificato".
Dopo seguirà il corso PCI DSS Assesor per i revisori futuri. Durante questo processo, vi insegneremo le pratiche e tecniche migliori necessarie per la protezione e la sicurezza dei dati, vi mostreremo la procedura di implementazione di tutti i 12 requisiti. Comprenderete le implicazioni pratiche dello standard e diventerete un esperto vero sia nella conformità che nella valutazione PCI DSS.
Abbiamo preparato un pacchetto di materiali di supporto. Questo faciliterà il vostro percorso verso una certificazione di successo.
Il sofisticato sistema documentale include un set completo di modelli, campioni e moduli, per guidarvi attraverso la compilazione di una guida fondamentale per l'intera azienda, incluso le liste di controllo. Con questi vi assicurerete di aver ottimizzato tutti i processi come richiesto dalla legislazione e dalla certificazione. Gli autori di materiali sono i nostri revisori accreditati, gli esperti maggiori nel campo, che garantiscono l'accuratezza fattuale e la qualità di tutti i materiali.
Ottenete la conferma che i vostri processi aziendali sono conformi agli standard rigorosi di sicurezza cibernetica.
Consorzio PCI DSS definisce 4 livelli di certificazione che variano secondo del tipo di elaborazione delle transazioni di pagamento e del loro volume.
La certificazione sarà eseguita dal nostro revisore principale. La prima fase della revisione interna - desktop review - si concentrerà sulla descrizione dello stato attuale della documentazione di sicurezza in termini di complessità e completezza. Dopo seguirà una revisione del processo, in cui valuteremo la conformità della documentazione con la realtà e compileremo un elenco di misure necessarie.
Perché scegliere TAYLLORCOX per la certificazione PCI DSS?
Analizzeremo la vostra situazione e progetteremo una procedura di certificazione specifica per garantire che soddisfa le vostre esigenze reali. Inoltre, siamo in grado di rispondere in modo flessibile alle vostre richieste durante il processo di certificazione.
Facciamo parte di un'azienda internazionale che è alla base del nostro know-how e del nostro ambiente. I nostri revisori sono gli esperti massimi che partecipano alla creazione di leggi pertinenti.
Ci assumeremo la maggior parte degli oneri amministrativi per voi e grazie alla nostra esperienza e personalizzazione dettagliata possiamo implementare il processo di certificazione fino al 75% più velocemente rispetto alla nostra concorrenza.
Come unico organismo di accreditamento sul mercato, forniremo anche formazione per voi e i vostri dipendenti. Questo è uno dei motivi per cui la stragrande maggioranza delle nostre certificazioni si traduce in successo.
Offriamo il migliore rapporto tra la qualità e il prezzo di certificazione. Riusciamo ad adattarci sia alle aziende che alle start-up e i nostri risultati sono sempre altrettanto precisi.
Sebbene il nostro team sia pieno di specialisti rinomati provenienti da una grande varietà di settori, siamo persone completamente normali. Forniamo ai clienti l'assistenza migliore e dedichiamo le nostre energie alla loro formazione.
Portiamo costantemente notizie e informazioni importanti (non solo) sul PCI DSS sul nostro blog.
Più dettagli sulla certificazione PCI DSS
Lo standard PCI DSS è stato creato nel 2004 su iniziativa di VISA e MasterCard ed è stato successivamente adottato da altre organizzazioni del settore, come American Express, Dinners Club e JCB International. Per gestire l'intero programma di sicurezza nel settore delle carte di pagamento, è stata creata anche la società PCICo (PCI Security Standards Council), i cui fondatori e proprietari sono le singole associazioni.
PCI DSS fa parte dell'intero gruppo di standard con lo stesso nome, che comprende anche gli standard PCI PTS (PCI PIN Transaction Security Requirements), PCI PA-DSS (Payment Application Data Security Standard) e P2PE (Point-To-Point Encryption). Il quadro degli standard si basa sulla serie di standard ISO 27000.
Requisiti specifici dello standard PCI DSS
Lo standard PCI DSS stabilisce 6 gruppi di obiettivi, che portano 12 requisiti:
OBIETTIVO: Creare e mantenere una rete sicura
Installare e mantenere le impostazioni del firewall che proteggeranno i dati dei titolari di carta
OBIETTIVO:
Proteggere i dati archiviati
Crittografare la trasmissione dei dati su reti aperte e pubbliche
OBIETTIVO:
Utilizzare e aggiornare regolarmente il software o il programma antivirus
Creare e gestire sistemi e applicazioni sicuri
OBIETTIVO: Implementare solide misure di controllo degli accessi
Limitare l'accesso ai dati dei titolari di carta solo alle esigenze dell'azienda
Assegnare un ID unico a tutti che hanno accesso a un computer
Limitare l'accesso fisico ai dati dei titolari di carta
OBIETTIVO: Monitorare e testare regolarmente le reti
Tracciare e monitorare tutti gli accessi ai dati dei titolari di carta
Testare regolarmente la sicurezza di sistemi e processi
OBIETTIVO: Mantenere una politica di sicurezza delle informazioni nell'organizzazione
Aumentare la consapevolezza della sicurezza delle informazioni tra i dipendenti e le altre parti interessate
Insieme agli standard PCI DSS vengono utilizzati due strumenti di controllo per verificare che un'azienda rispetti i requisiti stabiliti:
Viene eseguito una revisione annuale basata su test sul posto.
I test esterni delle vulnerabilità dell'infrastruttura di rete e delle informazioni si svolgono trimestralmente.
FAQ
In che modo PCI DSS e PA DSS sono correlati?
Anche il Payment Application Data Security Standard (PA DSS) rientra nel gruppo degli standard PCI. È destinato ai fornitori di applicazioni di pagamento che archiviano, elaborano o trasmettono i dati dei titolari di carta o altri dati di autenticazione sensibili. I commercianti sono tenuti a utilizzare solo le applicazioni e i software certificati PA DSS.
Qual è lo scopo della certificazione PCI DSS?
I requisiti PCI DSS si applicano a tutti i componenti di sistema, ad esempio server o applicazioni, che entrano o sono collegati all'ambiente dati del titolare della carta. Questi includono anche componenti virtuali come macchine virtuali, switch, router o dispositivi, applicazioni virtuali o workstation, ecc.
L'ambiente dei dati del titolare della carta include lavoratori, processi e tecnologie che elaborano le informazioni del titolare della carta o i dati di autenticazione sensibili.
Quando si valuta PCI DSS, l'ambito del controllo viene prima determinato con precisione. Prima di una revisione regolare annuale, il soggetto del test deve quindi identificare tutti i punti e i flussi di dati dei titolari di carta e confermare che sono inclusi nell'intervallo PCI DSS specificato.
Quali sono i problemi più comuni nello svolgimento delle revisioni?
Sistema informativo non documentato
Per molti dei nostri clienti, scopriamo che diverse parti del sistema sono state stabilite per diversi anni e il loro sviluppo non è stato sufficientemente documentato. Spesso, il cliente non è in grado di spiegare quali dati specifici passano effettivamente attraverso il sistema informativo.
Memorizzazione di dati sensibili dopo aver autorizzato una transazione di pagamento
I dati sensibili (come il numero intero della carta) non devono essere archiviati dai commercianti in nessun caso dopo l'autorizzazione di una transazione di pagamento, come record di eventi (loghi), backup o direttamente in un database.
Soluzioni di sicurezza delle informazioni insufficienti
Spesso, i nostri clienti incontrano una situazione in cui la sicurezza delle informazioni non viene affrontata come dovrebbe: la registrazione degli eventi (registrazione e monitoraggio) è insufficiente o completamente assente, non esiste un processo per aggiornare regolarmente le patch di sicurezza, i dipendenti non hanno consapevolezza essenziale della sicurezza delle informazioni e anche il controllo sulla gestione delle modifiche è insoddisfacente.
