Qualche parola su PCI

Implementando PCI-DSS, il proprio business diventa ottemperante ai requisiti e alle regole stabiliti dagli organismi internazionali competenti in tema di Card Payment e dalle Banche Acquirer.

PCI-DSS si applica a:

• Banche Acquirer / Issuer (obbligo di compliance, ma non di validation da parte di QSA/ASV)
• Merchant (Esercenti)
• Terze parti che accettino o processino Payment Cards (Service Provider)
• Sviluppatori di Applicazioni di Pagamento

 Per la categoria “Sviluppatori” si applica PA-DSS (Payment Applications Data Security Standard, 14 Requisiti diversi e mirati alla sicurezza nello sviluppo SW).

Le Banche Acquirer sono responsabili nei confronti dei Card Brand dei propri Merchant, Service Provider e Svipuppatori di Applicazioni di Pagamento.

I Card Brand (VISA, MasterCard ecc.) applicheranno una Tabella ufficiale di penali nel caso di future frodi / compromissioni ove NON vi sia compliance con PCI-DSS, come pure nei casi di mancato avvio delle attivita` previste.

La Certificazione PCI-DSS (della durata di 1 anno) si ottiene con un insieme di interventi che variano con la dimensione (“Livello”) del soggetto da certificare. Essi sono:

Con “Scan” si intende un Vulnerability Assessment secondo le specifiche dello Standard, chiamato appunto “Network Scan”. Per le definizioni dei Livelli e degli acronimi si faccia riferimento al PCI Council.

Le organizzazioni che convalidano l’ottemperanza di una entita` ai Requisiti PCI-DSS e PA-DSS sono definite rispettivamente QSA (Qualified Security Assessor) e PA-QSA (Payment Application Qualified Security Assessor).

Le organizzazioni che convalidanoil livello di Sicurezza Perimetrale di Merchant e Service Provider, mediante analisi di vilnerabilita`, sono definite ASV (Approved Scanning Vendor).