|
KIMA è accreditata come Certificatore per PCI-DSS presso il PCI Council, ed è ormai da tre anni il principale attore italiano in questo tipo di Attivita`, con referenze in ciascuna delle Categorie PCI-DSS (Banche, Merchant, Service Provider, Sviluppatori di Applicazioni di Pagamento) ed esperienza nelle dinamiche tipicamente italiane del settore Monetica. Kima inoltre riversa sul fronte PCI-DSS e PA-DSS il know-how acquisito con i propri Clienti Banking & Finance nell’ambito Monetica e Anti-Frode in generale. Ad esempio, KIMA ha supportato le Banche proprie Clienti in tutti gli Audit PCI-PIN eseguiti da VISA dal 2004 ad oggi in Italia.
Che cos’è il PCI ?
PCI-DSS comprende 12 Requisiti chiave, disponibili presso il PCI Council.
Implementando PCI-DSS, il proprio business diventa ottemperante ai requisiti e alle regole stabiliti dagli organismi internazionali competenti in tema di Card Payment e dalle Banche Acquirer.
PCI-DSS si applica a:
• Banche Acquirer / Issuer (obbligo di compliance, ma non di validation da parte di QSA/ASV)
• Merchant (Esercenti)
• Terze parti che accettino o processino Payment Cards (Service Provider)
• Sviluppatori di Applicazioni di Pagamento
Per la categoria “Sviluppatori” si applica PA-DSS (Payment Applications Data Security Standard, 14 Requisiti diversi e mirati alla sicurezza nello sviluppo SW).
Le Banche Acquirer sono responsabili nei confronti dei Card Brand dei propri Merchant, Service Provider e Svipuppatori di Applicazioni di Pagamento.
I Card Brand (VISA, MasterCard ecc.) applicheranno una Tabella ufficiale di penali nel caso di future frodi / compromissioni ove NON vi sia compliance con PCI-DSS, come pure nei casi di mancato avvio delle attivita` previste.
La Certificazione PCI-DSS (della durata di 1 anno) si ottiene con un insieme di interventi che variano con la dimensione (“Livello”) del soggetto da certificare. Essi sono:
| On-Site Audit eseguito da un QSA(oppure compilazione di un Self-Assessment Questionnaire per i Livelli al di sotto del primo, compilazione eventualmente supportata da un QSA) |
|
4 Scan all’anno eseguiti da un ASV
|
Con “Scan” si intende un Vulnerability Assessment secondo le specifiche dello Standard, chiamato appunto “Network Scan”. Per le definizioni dei Livelli e degli acronimi si faccia riferimento al PCI Council.
Le organizzazioni che convalidano l’ottemperanza di una entita` ai Requisiti PCI-DSS e PA-DSS sono definite rispettivamente QSA (Qualified Security Assessor) e PA-QSA (Payment Application Qualified Security Assessor).
Le organizzazioni che convalidanoil livello di Sicurezza Perimetrale di Merchant e Service Provider, mediante analisi di vilnerabilita`, sono definite ASV (Approved Scanning Vendor).
|
