Introducing G2.ai, the future of software buying.Try now
Glossario Tecnologico

Conformità PCI

Sagar Joshi
SJ
da Sagar Joshi
La conformità agli standard PCI (Payment Card Industry) svolge un ruolo cruciale nella sicurezza dei dati. Scopri di più sulla conformità PCI, su come aiuta le aziende a mantenere sicuri i dati delle carte di credito e informazioni utili sui benefici e le migliori pratiche della conformità PCI.
DefinizioneSoftware Conformità PCI

In questo post

In questo post

Che cos'è la conformità PCI?

La conformità agli standard di sicurezza dei dati del settore delle carte di pagamento (PCI DSS), originariamente nota come conformità agli standard di sicurezza dei dati del settore delle carte di pagamento, è un codice di condotta autoregolamentato del settore amministrato dal Consiglio per gli standard di sicurezza del settore delle carte di pagamento.

La conformità PCI impone alle organizzazioni che gestiscono carte di credito con marchio sotto i principali schemi di carte (Visa, Mastercard, American Express, ecc.) di accettare, memorizzare, elaborare e trasmettere in modo sicuro i dati dei titolari di carta.

Le aziende devono scoprire i dati sensibili memorizzati, trasmessi o elaborati nel loro sistema e proteggerli dall'accesso non autorizzato per conformarsi al PCI. Il software di scoperta dei dati sensibili facilita l'individuazione di questi dati sensibili e aiuta le aziende a stabilire misure adeguate per impedire agli hacker di accedervi.

Le organizzazioni hanno bisogno dei seguenti elementi per diventare conformi al PCI:

  • 12 requisiti generali di conformità PCI
  • 78 requisiti di base in base alla tua attività
  • Quattrocento procedure di test per garantire che la tua organizzazione sia conforme ai requisiti PCI (a seconda della tua attività)

Le normative sulla conformità PCI garantiscono che sia i clienti che le aziende siano protetti dalle violazioni dei dati. Si applica a tutte le imprese che gestiscono informazioni sulle carte di credito ed è un pilastro fondamentale del protocollo di sicurezza di ogni organizzazione.

Gli standard PCI hanno ampliato le loro linee guida per includere le transazioni internet crittografate e hanno aggiunto nuove regole e regolamenti per adattarsi ai recenti progressi nella tecnologia dei pagamenti e nel commercio.

Software Conformità PCI
Software che menzionano conformità pci come caratteristica o termine.
VGS Platform
VGS Platform
Trustwave Managed SIEM
Trustwave Managed SIEM
Stripe Connect
Stripe Connect
LevelBlue USM Anywhere
LevelBlue USM Anywhere
Clover
Clover
Qualys VMDR
Qualys VMDR

Livelli di conformità PCI

Quattro livelli di conformità PCI determinano il numero di transazioni che un commerciante gestisce ogni anno.

  • Livello 1: Commercianti che elaborano oltre 6 milioni di transazioni con carta all'anno.
  • Livello 2: Commercianti che elaborano da 1 a 6 milioni di transazioni con carta all'anno.
  • Livello 3: Commercianti che elaborano da 20.000 a 1 milione di transazioni con carta all'anno.
  • Livello 4: Commercianti che elaborano meno di 20.000 transazioni con carta all'anno.

Per le organizzazioni al livello 1 di conformità PCI, raggiungere la conformità PCI include l'esecuzione di audit esterni da parte di un valutatore di sicurezza qualificato (QSA) o di un valutatore di sicurezza interno (ISA). QSA o ISA conducono una valutazione in loco per:

  • Convalidare l'ambito della valutazione
  • Rivedere le informazioni tecniche e la documentazione,
  • Determinare se i requisiti PCI sono soddisfatti
  • Offrire guida e supporto durante il processo di conformità
  • Valutare i controlli compensativi

Dopo una valutazione positiva, il valutatore di sicurezza qualificato presenta un Rapporto di Conformità (RoC) alle banche operative dell'organizzazione per dimostrare la conformità.

Le organizzazioni di livello 2 di conformità PCI dovrebbero anche completare un RoC.

Le organizzazioni di livello da 2 a 4 possono completare un questionario di autovalutazione invece di audit esterni per determinare la conformità.

Vantaggi della conformità PCI DSS

La conformità PCI DSS fornisce un insieme di regolamenti e requisiti per garantire la massima riservatezza e sicurezza dei dati.

Alcuni dei vantaggi di essere conformi al PCI DSS sono:

  • La conformità PCI DSS garantisce che i beni aziendali abbiano più livelli di sicurezza.
  • Elenca le minacce e i vettori di attacco in evoluzione, rendendo l'ambiente dei dati più sicuro.
  • Il PCI DSS prevede l'installazione di firewall, sistemi SIEM e altre infrastrutture di sicurezza per raccogliere informazioni sulle minacce in caso di anomalie.
  • La conformità PCI enfatizza la crittografia dei dati dei titolari di carta, rendendo un'azienda conforme al PCI DSS un obiettivo meno prezioso per i criminali informatici.
  • I principi di conformità PCI pongono un forte accento sulla protezione dei dati dei titolari di carta mentre sono memorizzati o trasmessi. Sottolinea l'applicazione dei principi PCI con un'infrastruttura di sicurezza adeguata per aiutare le organizzazioni a prevenire le violazioni dei dati.
  • La conformità PCI DSS costruisce e mantiene la fiducia dei clienti e rende la sicurezza dei dati senza problemi.
  • La conformità PCI aiuta ad allineare le aziende con gli standard accettati dal settore nella memorizzazione, elaborazione e trasmissione delle informazioni dei titolari di carta.
  • La conformità PCI DSS aiuta le organizzazioni a conformarsi agli standard di sicurezza dei dati riconosciuti dal settore.

Requisiti di conformità PCI

I requisiti di conformità PCI DSS si concentrano sul raggiungimento della conformità PCI e sulla protezione dei dati dei titolari di carta dall'accesso non autorizzato.

1. Proteggi la rete aziendale con firewall

Passi che puoi intraprendere per proteggere la tua rete:

  • Configura i firewall per proteggere la rete aziendale e regolare il traffico in entrata e in uscita in base ai criteri organizzativi.
  • Utilizza firewall hardware e software per proteggere la rete.
  • Configura i firewall per il traffico in entrata e in uscita. Se un attaccante penetra nel sistema, sarà difficile per lui esportare le informazioni rubate a causa delle regole in uscita.

2. Evita di utilizzare password predefinite e configura le impostazioni

Per conformarsi al secondo requisito di conformità PCI:

  • Cambia le password predefinite e implementa la gestione della configurazione e il rafforzamento del sistema.
  • Affronta tutte le vulnerabilità nel sistema, correggile e segnalale, e assicurati che gli standard di rafforzamento del sistema siano allineati con le migliori pratiche del settore.
  • Adotta software di gestione del sistema, che serve come pacchetto completo per monitorare, scansionare e configurare dispositivi e opzioni di rafforzamento del sistema.
  • Verifica che lo standard di rafforzamento del sistema sia implementato in modo sicuro quando nuovi dispositivi e applicazioni vengono introdotti nell'ambiente di sistema.

3. Proteggi i dati dei titolari di carta memorizzati contro l'accesso non autorizzato

Adotta la seguente misura per proteggere i dati dei titolari di carta contro l'accesso non autorizzato:

  • Crittografa i dati dei titolari di carta utilizzando standard di crittografia forti e accettati dal settore come AES-256.
  • Assicurati che i sistemi memorizzino i dettagli riservati dei titolari di carta in un formato crittografato.
  • Crea e documenta il diagramma del flusso dei dati dei titolari di carta (CHD). È una rappresentazione grafica del flusso dei dati all'interno di un'organizzazione.
  • Utilizza uno strumento di scoperta dei dati sensibili per trovare informazioni sensibili come il numero di previdenza sociale nei sistemi aziendali per crittografarle o rimuoverle.

4. Crittografa la trasmissione dei dati dei titolari di carta attraverso reti aperte e pubbliche

Considera quanto segue per crittografare la trasmissione dei dati dei titolari di carta attraverso reti aperte o pubbliche:

  • Identifica come e dove i dati vengono trasmessi. Tieni traccia di tutte le aree in cui vengono inviati dettagli simili.
  • Passa dal secure sockets layer (SSL) e dalle prime versioni del transport layer security (TLS) a versioni più sicure di TLS.
  • Controlla i gateway, i fornitori di terminali, i fornitori di servizi e le banche per vedere se utilizzano crittografia aggiornata per le applicazioni transazionali.

5. Utilizza una versione aggiornata del software antivirus

Adotta le seguenti misure per conformarti al quinto requisito PCI DSS.

  • Utilizza software antivirus e previeni i sistemi da malware noti.
  • Aggiorna regolarmente il software antivirus.
  • Raccogli informazioni sui malware emergenti e sui diversi modi in cui possono penetrare nei sistemi aziendali.
  • Configura i sistemi e progetta processi per essere avvisati quando si verifica un'attività dannosa nell'ambiente di sistema.
  • Esegui scansioni periodiche del malware per assicurarti di avere un processo progettato per implementarlo.

6. Sviluppa e mantieni sistemi e applicazioni sicuri

Pratica i seguenti metodi per sviluppare e mantenere sistemi e applicazioni sicuri:

  • Correggi le debolezze di sicurezza con le patch recenti rilasciate dal fornitore del software.
  • Installa gli ultimi aggiornamenti di sicurezza e correggi le vulnerabilità nelle applicazioni e nei sistemi che sono cruciali per il flusso dei dati delle carte.
  • Installa patch critiche entro un mese dal loro rilascio per garantire la conformità
  • Sii proattivo nella gestione delle patch e nell'implementazione non appena la patch viene rilasciata.

7. Limita l'accesso ai dati dei titolari di carta in base alla necessità aziendale di sapere

Considera quanto segue per limitare l'accesso ai dati dei titolari di carta:

  • Assicurati di avere controlli di accesso rigorosi ai dati dei titolari di carta implementando sistemi di controllo degli accessi basato sui ruoli (RBAC) che concedono l'accesso ai dettagli dei titolari di carta su base di necessità di sapere.
  • Evita di creare utenti di gruppo o di condividere un account utente comune con altri utenti. Sarà difficile tracciare le violazioni dei dati.

8. Assegna un ID univoco a ciascuna persona con accesso al computer

Prendi i seguenti passi per conformarti all'ottavo requisito del PCI DSS:

  • Assegna un ID univoco a ciascun utente con accesso al computer e crea password forti per prevenire l'accesso non autorizzato.
  • Crea più livelli di sicurezza quando proteggi gli account utente.
  • Utilizza soluzioni di autenticazione a più fattori per fornire ulteriori livelli di difesa e proteggere i tuoi sistemi dagli attaccanti.

9. Limita l'accesso fisico al luogo di lavoro e ai dati dei titolari di carta

Cose importanti da considerare per conformarsi al nono requisito del PCI DSS:

  • Limita l'accesso dei dipendenti alle aree con dati dei titolari di carta memorizzati.
  • Documenta i dipendenti con accesso ad ambienti sicuri e quelli che necessitano di privilegi di accesso. Elenca tutti gli utenti autorizzati dei dispositivi, le posizioni in cui il dispositivo non è consentito e dove si trova attualmente. Nota tutte le applicazioni che possono essere accessibili su un dispositivo. Registra cosa, dove, quando e perché i dispositivi vengono utilizzati.
  • Distingui tra dipendenti e visitatori nell'organizzazione e utilizza metodi per monitorare le persone con accesso ad ambienti sicuri.
  • Assicurati che i privilegi di accesso dell'utente siano rimossi e che i meccanismi di accesso fisico come chiavi e carte di accesso siano disabilitati o restituiti quando si dismettono i dipendenti.

10. Traccia e monitora l'accesso alle risorse di rete e ai dati dei titolari di carta

Punti cruciali da considerare mentre si traccia e si monitora l'accesso alle risorse di rete e ai dati dei titolari di carta:

  • Implementa e mantieni un sistema di registrazione per visualizzare tutti i log e ricevere avvisi in caso di anomalie.
  • Controlla i log degli eventi di sistema almeno una volta al giorno per identificare modelli, raccogliere informazioni sulle minacce e rilevare comportamenti che contraddicono le tendenze attese.
  • Utilizza soluzioni di gestione delle informazioni e degli eventi di sicurezza (SIEM) per costruire e gestire un sistema centralizzato di raccolta log, monitoraggio e ispezione.

11. Testa regolarmente i sistemi di sicurezza e i processi

Segui le pratiche menzionate di seguito per conformarti all'undicesimo requisito del PCI DSS.

  • Conduci frequenti scansioni delle vulnerabilità per identificare se le debolezze di sicurezza sono state corrette con successo.
  • Esegui scansioni delle vulnerabilità trimestrali per tutti gli IP esterni e i domini esposti nell'ambiente dei dati dei titolari di carta utilizzando un fornitore di scansione approvato dal PCI (ASV).
  • Conduci test di penetrazione regolari per identificare i diversi modi in cui gli hacker possono sfruttare le vulnerabilità per configurare in modo sicuro i tuoi sistemi di sicurezza e proteggere i dati contro tattiche dannose simili. (La frequenza dei test di penetrazione dipende dal tuo questionario di autovalutazione (SAQ), ambiente, dimensioni, procedure e altri fattori).

12. Valutazione del rischio e documentazione

Adotta le seguenti pratiche per conformarti all'ultimo requisito della conformità PCI DSS:

  • Documenta tutte le politiche, le procedure e le prove associate alle pratiche di sicurezza delle informazioni dell'organizzazione.
  • Valuta i rischi formali e annuali per determinare minacce critiche, vulnerabilità e rischi associati.
Sagar Joshi
SJ

Sagar Joshi

Sagar Joshi is a former content marketing specialist at G2 in India. He is an engineer with a keen interest in data analytics and cybersecurity. He writes about topics related to them. You can find him reading books, learning a new language, or playing pool in his free time.

Software Conformità PCI

Questo elenco mostra i principali software che menzionano conformità pci di più su G2.

VGS Platform

VGS è l'approccio moderno alla sicurezza dei dati. La sua soluzione SaaS ti offre tutti i vantaggi di interagire con dati sensibili e regolamentati senza la responsabilità di proteggerli.

Trustwave Managed SIEM

Trustwave Managed SIEM aiuta le imprese a vedere attraverso il rumore dei dati facilmente, a rispondere rapidamente alle minacce emergenti e a massimizzare la protezione in modo conveniente dimostrando la conformità. Che la tua sfida sia scegliere il SIEM giusto, dotarlo di personale completo, contenere i costi o tenere il passo con nuove minacce e requisiti di conformità, Trustwave può aiutare.

Stripe Connect

Stripe offre soluzioni per pagamenti web e mobile progettate per gli sviluppatori. Stripe fornisce un insieme di API e strumenti unificati che consentono immediatamente alle aziende di accettare e gestire pagamenti online.

LevelBlue USM Anywhere

AlienVault USM (di AT&T Cybersecurity) è una piattaforma che fornisce cinque capacità di sicurezza essenziali in un'unica console per gestire sia la conformità che le minacce, comprendendo la natura sensibile degli ambienti IT, includendo tecnologie attive, passive e basate su host per soddisfare i requisiti di ciascun ambiente particolare.

Clover

Clover è un sistema di punto vendita (POS) completo e basato su cloud, progettato per ottimizzare le operazioni aziendali in vari settori, tra cui ristoranti, vendita al dettaglio, eCommerce e settori dei servizi. Integrando l'elaborazione dei pagamenti, la gestione dell'inventario e gli strumenti di coinvolgimento dei clienti in un'unica piattaforma, Clover consente alle aziende di gestire le attività quotidiane in modo efficiente da qualsiasi luogo e in qualsiasi momento. Le sue soluzioni personalizzabili si adattano ad aziende di tutte le dimensioni, offrendo una gamma di dispositivi e applicazioni su misura per esigenze operative specifiche. Caratteristiche e Funzionalità Chiave: - Elaborazione dei Pagamenti Versatile: Accetta tutte le principali carte di credito e debito, portafogli mobili e pagamenti contactless, garantendo un'esperienza di transazione senza interruzioni per i clienti. - Gestione Completa dell'Inventario: Organizza e traccia l'inventario in tempo reale, aiutando le aziende a mantenere livelli di stock ottimali e ridurre le perdite. - Gestione delle Relazioni con i Clienti (CRM): Memorizza le informazioni sui clienti, traccia le cronologie degli acquisti e facilita campagne di marketing mirate per migliorare la fedeltà dei clienti. - Gestione del Personale: Gestisce gli orari del personale, imposta permessi individuali e monitora le prestazioni di vendita per ottimizzare la produttività del team. - Reportistica in Tempo Reale: Fornisce dati di vendita in diretta e report personalizzabili, consentendo decisioni informate e monitoraggio delle prestazioni. - Integrazione degli Ordini Online: Supporta ordini in sede, da asporto e consegna, espandendo i canali di vendita e migliorando la comodità per i clienti. - Accesso al Mercato delle App: Offre una vasta gamma di applicazioni di terze parti per estendere la funzionalità, inclusi strumenti per contabilità, marketing e altro. Valore Primario e Soluzioni Fornite: Clover affronta le complessità della gestione aziendale moderna offrendo una soluzione POS tutto-in-uno che semplifica le operazioni, migliora le esperienze dei clienti e stimola la crescita. Consolidando le funzioni aziendali essenziali in un'unica piattaforma facile da usare, Clover riduce la necessità di più sistemi disparati, risparmiando tempo e riducendo i costi operativi. La sua scalabilità garantisce che, man mano che le aziende crescono, Clover possa adattarsi alle esigenze in evoluzione, fornendo una base affidabile per il successo a lungo termine.

Qualys VMDR

Scopri, valuta, dai priorità e correggi le vulnerabilità critiche in tempo reale e in tutto il tuo panorama IT ibrido globale — tutto da un'unica soluzione.

PCIPal

PCI Pal è una suite di soluzioni progettate per aiutare a gestire le operazioni di contatto con i clienti in conformità con lo Standard di Sicurezza dei Dati dell'Industria delle Carte di Pagamento (PCI DSS).

BlueSnap

Con BlueSnap, finalmente ottieni tutto ciò di cui hai bisogno per elaborare i pagamenti: una soluzione di gateway di pagamento, un conto commerciante e funzionalità avanzate per aumentare i tuoi profitti, tutto in un unico posto.

Shopify

Shopify è una piattaforma di commercio basata su cloud progettata per le piccole e medie imprese. I commercianti possono utilizzare il software per progettare, configurare e gestire i loro negozi attraverso diversi canali di vendita, inclusi web, mobile, social media, negozi fisici e negozi temporanei.

PayPal BrainTree

La piattaforma robusta e multifunzionale di Braintree è ideale per le aziende basate su abbonamenti che desiderano impostare la fatturazione ricorrente o accettare pagamenti ripetuti online.

Vanta

Era chiaro che la sicurezza e la privacy erano diventate questioni di interesse generale e che tutti noi ci affidavamo sempre più ai servizi cloud per conservare tutto, dalle nostre foto personali alle comunicazioni sul lavoro. La missione di Vanta è essere lo strato di fiducia sopra questi servizi, per proteggere internet, aumentare la fiducia nelle aziende di software e mantenere al sicuro i dati dei consumatori. Oggi siamo un team in crescita a San Francisco, appassionato di rendere internet più sicuro e di elevare gli standard per le aziende tecnologiche.

Chargent

Elaborazione dei pagamenti Chargent per Salesforce. Elaborazione dei pagamenti con carta di credito/ACH al 100% nativa su Opportunità, Casi, Ordini Chargent o siti Force.com.

EBizCharge

Il gateway di pagamento EBizCharge si integra con oltre 50 soluzioni ERP, CRM, contabili e di eCommerce, ed è progettato per: ridurre i costi di elaborazione del 15-40%, aumentare l'efficienza dell'elaborazione dei pagamenti, eliminare la doppia registrazione, ridurre l'errore umano, migliorare la sicurezza e semplificare l'esperienza del cliente. EBizCharge fornisce elaborazione di carte di credito online e mobile, cronologia delle transazioni illimitata, report personalizzabili, fatturazione elettronica, crittografia sicura e tokenizzazione, e altro ancora.

LogRhythm SIEM

LogRhythm consente alle organizzazioni di sei continenti di ridurre con successo il rischio rilevando, rispondendo e neutralizzando rapidamente le minacce informatiche dannose.

REPAY

REPAY (NASDAQ: RPAY) è un fornitore di tecnologia di pagamento che offre elaborazione di carte e ACH, finanziamento istantaneo, funzioni automatizzate di contabilità fornitori in uscita e sistemi di pagamento delle bollette online con capacità web, testo, app mobile e IVR. Con le soluzioni di pagamento integrate omni-canale di REPAY, i clienti possono pagare e ricevere pagamenti in qualsiasi momento e ovunque. Scopri di più: www.repay.com

Chargebee

La piattaforma di fatturazione e monetizzazione costruita per l'economia dell'IA.

Zuora

Zuora fornisce una piattaforma di monetizzazione leader per costruire, gestire e far crescere un'azienda moderna attraverso un mix dinamico di modelli basati sull'uso, pacchetti in abbonamento e tutto ciò che sta nel mezzo. Dalla determinazione dei prezzi e confezionamento, alla fatturazione, pagamenti e riconoscimento dei ricavi, le soluzioni software flessibili e modulari di Zuora sono progettate per aiutare le aziende a evolversi e scalare la monetizzazione con la domanda. Più di 1.000 clienti in tutto il mondo, tra cui BMC Software, Box, Caterpillar, General Motors, The New York Times, Schneider Electric e Zoom utilizzano la combinazione unica di tecnologia ed esperienza di Zuora per trasformare le loro operazioni finanziarie e il modo in cui si presentano sul mercato. Zuora ha sede nella Silicon Valley con uffici nelle Americhe, EMEA e APAC. Per saperne di più, visita zuora.com.

Passly

L'80% delle violazioni dei dati di oggi è il risultato di password perse, deboli o rubate. Ogni organizzazione, indipendentemente dalle dimensioni, deve implementare una piattaforma sicura di gestione delle identità e degli accessi per proteggere i propri dati, dipendenti, reti e garantire la continuità aziendale. Passly è l'arma multifunzionale di cui hai bisogno per combattere l'intrusione dei criminali informatici. Passly rafforza le tue difese aggiungendo molteplici elementi essenziali di gestione sicura delle identità e degli accessi, tra cui l'autenticazione a due fattori, il single sign-on e il gestore di password in un'unica soluzione completa e conveniente.

Ostendio

Ostendio è una piattaforma di gestione delle informazioni e della sicurezza informatica basata su cloud che offre un modo facile da usare e conveniente per le aziende di dimostrare la conformità alla sicurezza delle informazioni a molteplici standard e regolamenti del settore.

Imperva App Protect

Incapsula è un servizio di sicurezza e accelerazione basato su cloud che rende i siti web più sicuri, veloci e affidabili.