Home Cloud Conformità PCI Payment Card Industry Data Security Standard (PCI DSS)
Illustrazione che mostra una persona che interagisce con un'interfaccia informatica, dietro la quale ci sono vari documenti e un grattacielo in miniatura
Che cos'è PCI DSS?

Il Payment Card Industry Data Security Standard (PCI DSS) è un insieme di requisiti di sicurezza per proteggere i dati dei titolari di carta (PAN, numeri di conto primari), nomi, date di scadenza, codici di servizio e altre informazioni sensibili dei titolari di carta durante tutto il loro ciclo di vita.

Lo standard PCI DSS si applica a qualsiasi commerciante, fornitore di servizi o altra organizzazione che archivia, elabora o trasmette i dati dei titolari di carte e a qualsiasi organizzazione collegata a sistemi che memorizzano, elaborano o trasmettono i dati dei titolari di carte. (Questi sistemi sono denominati ambienti dati dei titolari di carte, o CDE.) Il PCI DSS delinea controlli di sicurezza dettagliati, processi e test che le organizzazioni dovrebbero implementare per proteggere i dati dei titolari di carte. Queste misure di sicurezza coprono un'ampia gamma di aree funzionali nell'ambiente dati dei titolari di carte, tra cui transazioni di e-commerce, sistemi POS, hotspot wireless, dispositivi mobili, cloud computing e sistemi di archiviazione cartacei.

La conformità al PCI DSS richiede rapporti annuali da parte di commercianti e fornitori di servizi e rapporti aggiuntivi a seguito di modifiche significative al CDE. La convalida della conformità comporta anche una valutazione continua del livello di sicurezza di un'organizzazione e una correzione costante per colmare eventuali lacune nelle politiche, nella tecnologia o nelle procedure di sicurezza.

Le organizzazioni e i service provider possono essere valutati da un Qualified Security Assessor (QSA), che emette un Attestation of Compliance (AOC) al completamento di una valutazione positiva. 

La prima versione del PCI DSS è stata rilasciata nel 2004 dai marchi di carte di pagamento American Express, Discover, JCB International, MasterCard e Visa, che insieme hanno formato il Payment Card Industry Security Standards Council (PCI SSC) per gestire i requisiti tecnici dello standard. Nel 2020, il PCI SSC ha aggiunto l’associazione delle carte bancarie UnionPay. Lo standard PCI DSS viene periodicamente aggiornato per far fronte alle più recenti minacce alla cybersecurity dei dati delle carte di pagamento, come furto di identità, frodi e violazioni dei dati.

Indicazioni IBM Cloud PCI DSS

Vai dietro le quinte per scoprire come funziona la conformità PCI DSS su IBM Cloud.

IBM Cloud e PCI DSS

IBM è un service provider di livello 1 per PCI DSS e i clienti possono creare ambienti e applicazioni conformi a PCI-DSS con IBM Cloud.

Molti servizi della piattaforma IBM Cloud dispongono di un certificato di conformità (AOC) PCI DSS rilasciato da un Qualified Security Assessor (QSA).

Contatta IBM per richiedere un AOC PCI DSS per qualsiasi servizio elencato di seguito

I servizi IBM Cloud con un AOC PCI DSS disponibile includono:
    1. IBM Cloud Activity Tracker (tramite Mezmo)
    2. IBM Cloud App ID
    3. IBM Cloud Backup
    4. IBM Cloud Backup for VPC
    5. IBM Cloud Bare Metal
    6. IBM Cloud Bare Metal Servers for VPC
    7. IBM Cloud Block Storage
    8. IBM Cloud Block Storage for Virtual Private Cloud
    9. IBM Cloud Block Storage Snapshots for VPC
    10. IBM Cloud Container Registry
    11. IBM Cloud Databases for DataStax
    12. IBM Cloud Databases for Elasticsearch
    13. IBM Cloud Databases for EnterpriseDB
    14. IBM Cloud Databases for etcd
    15. IBM Cloud Databases for MongoDB
    16. IBM Cloud Databases for MySQL
    17. IBM Cloud Databases for PostgreSQL
    18. IBM Cloud Databases for Redis
    19. IBM Cloud Direct Link
    20. IBM Cloud Direct Link Connect (2.0)
    21. IBM Cloud Direct Link Dedicated (2.0)
    22. IBM Cloud DNS Services
    23. IBM Cloud File Storage
    24. IBM Cloud File Storage for Virtual Private Cloud
    25. IBM Cloud Flow Logs for VPC
    26. IBM Cloud for VMware Solutions (Dedicated)
    27. IBM Cloud Hardware Security Module
    28. IBM Cloud Internet Services Enterprise Package (tramite Cloudflare)
    29. IBM Cloud Internet Services Enterprise Usage (tramite Cloudflare)
    30. IBM Cloud Internet Services Standard (tramite Cloudflare)
    31. IBM Cloud Kubernetes Service and Red Hat OpenShift on IBM Cloud
    32. IBM Cloud Load Balancer
    33. IBM Cloud Messages for RabbitMQ
    34. IBM Cloud Object Storage
    35. IBM Cloud Object Storage (IaaS)
    36. IBM Cloud Platform - Core Services - IBM Cloud Identity and Access Management
    37. IBM Cloud Secrets Manager
    38. IBM Cloud Transit Gateway
    39. IBM Cloud Virtual Private Cloud
    40. Ibm Cloud Virtual Private Cloud - Load Balancer for VPC: bilanciatore del carico dell'applicazione e bilanciatore del carico di rete
    41. IBM Cloud Virtual Private Cloud - VPN for VPC: gateway da sito a sito e server da client a sito
    42. IBM Cloud Virtual Private Endpoint for VPC
    43. IBM Cloud Virtual Servers
    44. IBM Cloud Virtual Server for VPC
    45. IBM Cloud Virtual Server for VPC - Scalabilità automatica per VPC
    46. IBM Cloud Virtual Server for VPC - Host dedicato per VPC
    47. IBM Cloudant for IBM Cloud
    48. IBM Event Streams for IBM Cloud (Enterprise)
    49. IBM Event Streams for IBM Cloud (Standard)
    50. IBM Key Protect for IBM Cloud
    51. IBM Log Analysis (tramite Mezmo)
    52. IBM Power Virtual Server su IBM Cloud
    53. IPSec VPN
    54. SAP-Certified Cloud Infrastructure
    Accelera la conformità utilizzando i servizi IBM Cloud

    La versione più recente di PCI DSS (v4.0) è stata rilasciata nel marzo 2022. Per raggiungere la conformità, le organizzazioni devono implementare questi 12 requisiti entro il 31 marzo 2025.

    IBM Cloud offre la seguente suite di servizi che ti aiuteranno a soddisfare specifici requisiti PCI DSS e ad accelerare il tuo percorso di conformità.

     

    1. Installa e gestisci i controlli di sicurezza della rete

    IBM Cloud Internet Services (CIS)

    Rete

    IBM Cloud Internet Services offre sicurezza e prestazioni leader di mercato ai tuoi contenuti web esterni e alle applicazioni Internet prima che raggiungano il cloud.

    Vedi il servizio

    IBM Cloud Direct Link

    Rete

    La velocità e l'affidabilità di IBM Cloud Direct Link ti consentono di estendere la rete del data center della tua organizzazione, senza toccare la rete internet pubblica.

    Vedi il servizio

    IBM Cloud Gateway Appliances

    Rete

    I dispositivi del gateway sono dispositivi che ti offrono un maggior controllo sul traffico di rete, ti consentono di accelerare le prestazioni della tua rete e aumentano la sicurezza della tua rete.

    Vedi il servizio

     IBM Cloud Transit Gateway

    Rete

    IBM Cloud Transit Gateway consente di collegare e gestire le reti IBM Cloud Virtual Private Cloud (VPC).

    Vedi il servizio

    Dispositivo di sicurezza FortiGate

    Rete

    Implementa un paio di dispositivi virtuali FortiGate nel tuo ambiente che possono aiutarti a ridurre i rischi implementando controlli di sicurezza critici all'interno dell'infrastruttura virtuale. 

    Vedi il servizio

    Firewall per l'hardware

    Rete

    Un livello essenziale di sicurezza che viene fornito su richiesta senza interruzioni del servizio.

    Vedi il servizio

    2. Applica configurazioni sicure a tutti i componenti del sistema

    Dispositivo di sicurezza FortiGate

    Rete

    Implementa un paio di dispositivi virtuali FortiGate nel tuo ambiente che possono aiutarti a ridurre i rischi implementando controlli di sicurezza critici all'interno dell'infrastruttura virtuale. 

    Vedi il servizio

    Firewall per l'hardware

    Rete

    Un livello essenziale di sicurezza che viene fornito su richiesta senza interruzioni del servizio.

    Vedi il servizio

    IBM Security and Compliance Center

    Protezione

    Una suite di soluzioni integrate per definire le policy come codice, attuare controlli per l'implementazione sicura di dati e workload e valutare lo stato di sicurezza e conformità.

    Vedi il servizio

    IBM Security and Compliance Center - Workload Protection

    Protezione

    Trova e assegna priorità alle vulnerabilità del software, rileva e rispondi alle minacce e gestisci configurazioni, autorizzazioni e conformità dall'origine all'esecuzione.

    Vedi il servizio

    IBM QRadar Suite

    Protezione

    IBM® Security QRadar Suite è una soluzione modernizzata di rilevamento e risposta alle minacce progettata per unificare l'esperienza degli analisti di sicurezza e accelerarne la velocità durante l'intero ciclo di vita degli incidenti.

    Vedi il servizio

    3. Proteggi i dati dei titolari di carte memorizzati

    IBM Key Protect for IBM Cloud

    Protezione

    Il servizio IBM Key Protect for IBM Cloud consente di eseguire il provisioning e l'archiviazione di chiavi crittografate per le applicazioni nei servizi IBM Cloud, in modo da poter visualizzare e gestire la crittografia dei dati e l'intero ciclo di vita delle chiavi da un'unica posizione centrale.

    Vedi il servizio

    IBM Security and Compliance Center - Data Security Broker - Manager

    Protezione

    Una soluzione di sicurezza della suite Security and Compliance Center che fornisce criteri di crittografia centralizzati e di audit dei dati per una pluralità di fonti di dati.

    Vedi il servizio

    IBM Cloud Hyper Protect Virtual Servers

    Contenitori

    Runtime del container di calcolo confidenziale completamente gestito che consente l'implementazione di workload sensibili containerizzati in un ambiente altamente isolato con garanzia tecnica.

    Vedi il servizio

    IBM Cloud Hardware Security Module

    Protezione

    Protegge l'infrastruttura crittografica gestendo, elaborando e archiviando in modo più sicuro le chiavi crittografiche all'interno di un dispositivo hardware a prova di manomissione.

    Vedi il servizio

    IBM Security Guardium

    Protezione

    Software di sicurezza dei dati nel portafoglio IBM Security che scopre le vulnerabilità e protegge i dati sensibili on-premise e cloud.

    Vedi il servizio

    Servizi di archiviazione cloud IBM

    Storage

    Un archivio scalabile, sicuro e conveniente per i tuoi dati, che supporta al contempo i workload tradizionali e nativi del cloud. Effettua il provisioning e la distribuzione dei servizi come l'accesso a storage di oggetti, storage a blocchi e storage di file. 

    Vedi il servizio

    IBM Cloud Database Services

    Database

    Libera gli sviluppatori e l'IT da attività complesse e dispendiose in termini di tempo, tra cui la distribuzione e gli aggiornamenti del software dell'infrastruttura e del database, le operazioni dell'infrastruttura e il backup. 

    Vedi il servizio

    4. Proteggi i dati dei titolari di carte con una crittografia efficace durante la trasmissione su reti pubbliche aperte

    IBM Cloud Direct Link

    Rete

    La velocità e l'affidabilità di IBM Cloud Direct Link ti consentono di estendere la rete del data center della tua organizzazione, senza toccare la rete internet pubblica.

    Vedi il servizio

     IBM Cloud Transit Gateway

    Rete

    IBM Cloud Transit Gateway consente di collegare e gestire le reti IBM Cloud Virtual Private Cloud (VPC).

    Vedi il servizio

    IBM Key Protect for IBM Cloud

    Protezione

    Il servizio IBM Key Protect for IBM Cloud consente di eseguire il provisioning e l'archiviazione di chiavi crittografate per le applicazioni nei servizi IBM Cloud, in modo da poter visualizzare e gestire la crittografia dei dati e l'intero ciclo di vita delle chiavi da un'unica posizione centrale.

    Vedi il servizio

    5. Proteggi tutti i sistemi e le reti da software dannosi.

    IBM Cloud Internet Services (CIS)

    Rete

    IBM Cloud Internet Services offre sicurezza e prestazioni leader di mercato ai tuoi contenuti web esterni e alle applicazioni Internet prima che raggiungano il cloud.

    Vedi il servizio

    IBM Cloud Direct Link

    Rete

    La velocità e l'affidabilità di IBM Cloud Direct Link ti consentono di estendere la rete del data center della tua organizzazione, senza toccare la rete internet pubblica.

    Vedi il servizio

    Dispositivo di sicurezza FortiGate

    Rete

    Implementa un paio di dispositivi virtuali FortiGate nel tuo ambiente che possono aiutarti a ridurre i rischi implementando controlli di sicurezza critici all'interno dell'infrastruttura virtuale. 

    Vedi il servizio

    IBM QRadar Suite

    Protezione

    IBM® Security QRadar Suite è una soluzione modernizzata di rilevamento e risposta alle minacce progettata per unificare l'esperienza degli analisti di sicurezza e accelerarne la velocità durante l'intero ciclo di vita degli incidenti.

    Vedi il servizio

    IBM Security Guardium

    Protezione

    Software di sicurezza dei dati nel portafoglio IBM Security che scopre le vulnerabilità e protegge i dati sensibili on-premise e cloud.

    Vedi il servizio

    6. Sviluppa e mantieni sistemi e software sicuri

    IBM Cloud Internet Services (CIS)

    Rete

    IBM Cloud Internet Services offre sicurezza e prestazioni leader di mercato ai tuoi contenuti web esterni e alle applicazioni Internet prima che raggiungano il cloud.

    Vedi il servizio

    IBM Security and Compliance Center - Workload Protection

    Protezione

    Trova e assegna priorità alle vulnerabilità del software, rileva e rispondi alle minacce e gestisci configurazioni, autorizzazioni e conformità dall'origine all'esecuzione.

    Vedi il servizio

    IBM Security Guardium

    Protezione

    Software di sicurezza dei dati nel portafoglio IBM Security che scopre le vulnerabilità e protegge i dati sensibili on-premise e cloud.

    Vedi il servizio

    IBM Cloud Container Registry

    Contenitori

    Memorizza e distribuisci le immagini dei container in un registro privato completamente gestito. Invia immagini private per eseguirle comodamente nell'IBM Cloud Kubernetes Service e in altri ambienti di runtime.

    Vedi il servizio

    IBM Cloud Continuous Delivery

    Developer Tools

    Affidati a DevOps pensato per le imprese. Crea toolchain sicure a supporto delle attività di distribuzione delle app. Automatizza build, test, distribuzioni e altro ancora. 

    Vedi il servizio

    IBM Cloud Kubernetes Service

    Contenitori

     Implementa cluster sicuri e ad elevata disponibilità in un'esperienza Kubernetes nativa.

    Vedi il servizio

    7. Limita l'accesso ai componenti dei sistemi e ai dati dei titolari di carte in base alle esigenze aziendali

    IBM Cloud App ID

    Protezione

    Aggiungi facilmente l'autenticazione alle app web e per dispositivi mobili. Migliora le tue app con funzionalità di sicurezza avanzate come l'autenticazione a più fattori e l'accesso Single Sign-On. 

    Vedi il servizio

    IBM Cloud Identity and Access Management (IAM)

    Protezione

    Il servizio IBM Cloud Identity and Access Management autentica in modo sicuro gli utenti e controlla l'accesso a tutte le risorse in modo coerente nella IBM Cloud Platform.

    Vedi il servizio

    8. Identifica gli utenti e autentica l'accesso ai componenti del sistema

    IBM Cloud App ID

    Protezione

    Aggiungi facilmente l'autenticazione alle app web e per dispositivi mobili. Migliora le tue app con funzionalità di sicurezza avanzate come l'autenticazione a più fattori e l'accesso Single Sign-On. 

    Vedi il servizio

    IBM Cloud Secrets Manager

    Protezione

    Creta dati secret in modo dinamico e noleggiai ad applicazioni mentre controlli l'accesso da un'unica posizione. Basato su HashiCorp Vault open source.

    Vedi il servizio

    IBM Cloud Identity and Access Management (IAM)

    Protezione

    Il servizio IBM Cloud Identity and Access Management autentica in modo sicuro gli utenti e controlla l'accesso a tutte le risorse in modo coerente nella IBM Cloud Platform.

    Vedi il servizio

    9. Limita l'accesso fisico ai dati dei titolari di carte

    IBM Cloud adotta diverse misure per una maggiore sicurezza fisica:

    Protezione
    • Sicurezza fisica del perimetro del data center
    • Controlli di accesso e registrazione in entrata e in uscita
    • Uffici, camere e strutture sicuri
    • Protezione contro le minacce esterne e ambientali
    • Ridondanza delle apparecchiature di alimentazione e di rete
    • Smaltimento sicuro dell'attrezzatura durante il de-provisioning
    • Politica aziendale delle risorse umane e sicurezza per l'inserimento, la formazione e l'uscita dal lavoro.
    Vedi il servizio

    10. Registra e monitora tutti gli accessi ai componenti del sistema e ai dati dei titolari di carte

    IBM Cloud Flow Logs for VPC

    Rete

    Abilita la raccolta, lo storage e la presentazione delle informazioni sul traffico IP (Internet Protocol) da e verso le interfacce di rete all'interno del tuo cloud privato virtuale (VPC).

    Vedi il servizio

    IBM QRadar Suite

    Protezione

    IBM® Security QRadar Suite è una soluzione modernizzata di rilevamento e risposta alle minacce progettata per unificare l'esperienza degli analisti di sicurezza e accelerarne la velocità durante l'intero ciclo di vita degli incidenti.

    Vedi il servizio

    IBM Cloud Identity and Access Management (IAM)

    Protezione

    Il servizio IBM Cloud Identity and Access Management autentica in modo sicuro gli utenti e controlla l'accesso a tutte le risorse in modo coerente nella IBM Cloud Platform.

    Vedi il servizio

    IBM Security Guardium

    Protezione

    Software di sicurezza dei dati nel portafoglio IBM Security che scopre le vulnerabilità e protegge i dati sensibili on-premise e cloud.

    Vedi il servizio

    IBM Cloud Logs

    Registrazione e monitoraggio

     Acquisisci l'osservabilità dei log con IBM Cloud Logs per migliorare le prestazioni dell'infrastruttura e delle app.

    Vedi il servizio

    IBM Cloud Monitoring

    Registrazione e monitoraggio

     Monitoraggio e risoluzione dei problemi del cloud per infrastrutture, applicazioni e servizi cloud.

    Vedi il servizio

    11. Testa regolarmente la sicurezza dei sistemi e delle reti

    IBM Security and Compliance Center

    Protezione

    Una suite di soluzioni integrate per definire le policy come codice, attuare controlli per l'implementazione sicura di dati e workload e valutare lo stato di sicurezza e conformità.

    Vedi il servizio

    IBM Security and Compliance Center - Workload Protection

    Protezione

    Trova e assegna priorità alle vulnerabilità del software, rileva e rispondi alle minacce e gestisci configurazioni, autorizzazioni e conformità dall'origine all'esecuzione.

    Vedi il servizio

    IBM QRadar Suite

    Protezione

    IBM® Security QRadar Suite è una soluzione modernizzata di rilevamento e risposta alle minacce progettata per unificare l'esperienza degli analisti di sicurezza e accelerarne la velocità durante l'intero ciclo di vita degli incidenti.

    Vedi il servizio

    IBM Security Guardium

    Protezione

    Software di sicurezza dei dati nel portafoglio IBM Security che scopre le vulnerabilità e protegge i dati sensibili on-premise e cloud.

    Vedi il servizio

    12. Supporta la sicurezza delle informazioni con politiche e programmi organizzativi

    IBM Security and Compliance Center

    Protezione

    Una suite di soluzioni integrate per definire le policy come codice, attuare controlli per l'implementazione sicura di dati e workload e valutare lo stato di sicurezza e conformità.

    Vedi il servizio

    IBM Security and Compliance Center - Workload Protection

    Protezione

    Trova e assegna priorità alle vulnerabilità del software, rileva e rispondi alle minacce e gestisci configurazioni, autorizzazioni e conformità dall'origine all'esecuzione.

    Vedi il servizio

    IBM Cloud Logs

    Registrazione e monitoraggio

     Acquisisci l'osservabilità dei log con IBM Cloud Logs per migliorare le prestazioni dell'infrastruttura e delle app.

    Vedi il servizio

    IBM Cloud Monitoring

    Registrazione e monitoraggio

     Monitoraggio e risoluzione dei problemi del cloud per infrastrutture, applicazioni e servizi cloud.

    Vedi il servizio

    Domande frequenti

    Quali sono i requisiti di conformità PCI DSS?

    La versione più recente di PCI DSS (v4.0) è stata rilasciata nel marzo 2022, ed elenca questi 12 requisiti per la protezione dei dati dei titolari di carte. Per raggiungere la conformità, le organizzazioni devono implementare questi requisiti entro il 31 marzo 2025.

    Installa e gestisci i controlli di sicurezza della rete

    I controlli di sicurezza di rete (NSC) possono includere firewall, dispositivi virtuali, sistemi container, sistemi di sicurezza cloud e altre tecnologie che controllano l'accesso a sistemi e dati.

    Applica configurazioni sicure a tutti i componenti del sistema

    Le password predefinite e altre impostazioni di sistema predefinite fornite dai fornitori non devono essere utilizzate in quanto sono vulnerabili agli attacchi informatici.

    Proteggi i dati dei titolari di carte memorizzati

    A meno che non sia necessario per esigenze aziendali, le organizzazioni non devono archiviare i dati dei titolari di carte. Se questi dati vengono memorizzati, devono essere resi illeggibili tramite crittografia, mascheramento o altri mezzi.

    Proteggi i dati dei titolari di carte con crittografia avanzata durante la trasmissione su reti pubbliche aperte

    Per impedire agli hacker di accedere a informazioni sensibili come i numeri di carta e le informazioni di identificazione personale (PII), i dati devono essere crittografati prima e/o durante le trasmissioni di rete pubblica.

    Proteggi tutti i sistemi e le reti dal software dannoso.

    Mantieni il software antivirus e altre difese contro il malware, come spyware, keylogger, ransomware, script e altri virus.

    Sviluppa e mantieni sistemi e software sicuri

    Applicando le patch di sicurezza più recenti e seguendo pratiche sicure durante lo sviluppo di app, le organizzazioni possono contribuire a ridurre al minimo il rischio di violazioni dei dati.

    Limita l'accesso ai componenti del sistema e ai dati dei titolari di carte in base alle esigenze aziendali

    Forti misure di controllo degli accessi dovrebbero garantire che gli utenti autorizzati vedano solo le informazioni dei titolari di carte necessarie per svolgere il loro lavoro.

    Identifica gli utenti e autentica l'accesso ai componenti del sistema

    Un ID univoco con dati di autenticazione tracciabili dovrebbe essere assegnato a ogni persona con accesso informatico a sistemi e dati sensibili.

    Limita l'accesso fisico ai dati dei titolari di carte

    Per impedire a persone non autorizzate di rimuovere l'hardware o le copie cartacee contenenti i dati dei titolari di carte, l'accesso fisico ai sistemi dovrebbe essere limitato.

    Registra e monitora tutti gli accessi ai componenti del sistema e ai dati dei titolari di carte

    La possibilità di automatizzare la registrazione e il monitoraggio di sistemi e dati sensibili può aiutare a rilevare attività sospette e supportare l'analisi forense in seguito a una violazione.

    Testa regolarmente la sicurezza di sistemi e reti

    Poiché i criminali informatici cercano continuamente nuove vulnerabilità in ambienti IT in evoluzione, i test di penetrazione e le scansioni delle vulnerabilità devono essere eseguiti regolarmente.

    Supporta la sicurezza delle informazioni con politiche e programmi organizzativi

    Le organizzazioni dovrebbero creare una politica completa sulla sicurezza delle informazioni che delinei le procedure per l'identificazione e la gestione dei rischi, una formazione continua sulla consapevolezza della sicurezza e la conformità al PCI DSS.

    Quali sono i requisiti di reporting e documentazione PCI DSS?

    Le organizzazioni disciplinate dallo standard PCI DSS devono documentare la conformità ogni anno. Le organizzazioni più grandi sono tenute a presentare un rapporto dettagliato sulla conformità (ROC) e un attestato di conformità (AOC). Sia i documenti ROC che i documenti AOC devono essere completati e firmati da un Qualified Security Assessor (QSA) certificato dal PCI Standard Security Council. Le organizzazioni di piccole e medie dimensioni possono completare un questionario di autovalutazione (SAQ) per convalidare la conformità.

    Se un'organizzazione effettua la trasmissione dei dati dei titolari di carte via Internet, potrebbe anche essere necessario implementare la gestione delle vulnerabilità per garantire la sicurezza della rete. Per ottenere la conformità, un fornitore di servizi di scansione approvato (ASV) certificato dal PCI SSC deve eseguire una scansione trimestrale delle vulnerabilità per testare la sicurezza della rete.

    I requisiti di segnalazione per PCI DSS variano in base al numero di transazioni elaborate annualmente da un'organizzazione. Esistono quattro livelli di conformità.

    Livello 1

    Più di 6 milioni di transazioni con carta di pagamento all'anno. È necessario inviare una relazione sulla conformità completata da un Qualified Security Assessor. È necessario che un fornitore di scansione approvato esegua una scansione trimestrale delle vulnerabilità della rete.

    Livello 2

    Da un milione a 6 milioni di transazioni con carta di pagamento all'anno. È necessario che un fornitore di scansione approvato esegua una scansione trimestrale delle vulnerabilità della rete.

    Livello 3

    Da 20.000 a 1 milione di transazioni con carta di pagamento all'anno. È necessario completare un questionario di autovalutazione e potrebbe essere necessario eseguire scansioni trimestrali delle vulnerabilità della rete.

    Livello 4

    Meno di 20.000 transazioni annuali con carta. È necessario completare un questionario di autovalutazione e potrebbe essere necessario eseguire scansioni trimestrali delle vulnerabilità della rete.

    Come viene applicato lo standard PCI DSS?

    Sebbene i commercianti e i fornitori di servizi di pagamento siano tenuti a seguire lo standard PCI DSS, la loro conformità non è imposta dalla legge, dai governi o persino dal PCI Security Standards Council. Invece, la conformità è gestita dalle società emittenti di carte di credito, come Visa o MasterCard, e dagli acquirer, che sono banche o istituti finanziari che elaborano i pagamenti con carta.

    Una volta all'anno, le organizzazioni che elaborano o archiviano i dati dei titolari di carte devono convalidare la loro aderenza al PCI DSS. Se un'organizzazione esternalizza l'elaborazione dei pagamenti, deve comunque affermare che le transazioni con carte di credito sono protette dai requisiti dello standard PCI DSS.

    Quali sono le sanzioni in caso di mancata conformità?

    Le multe per la non conformità al PCI DSS sono stabilite dai marchi delle carte di pagamento e negoziate tra i marchi, il commerciante o il fornitore di servizi e le banche o altri istituti finanziari impattati. I marchi di carte di pagamento non pubblicano i calendari delle multe o delle commissioni e in genere non rendono disponibili al pubblico le informazioni sulle sanzioni.

    Come regola generale, le multe per non conformità possono variare da 5.000 a 10.000 USD durante i primi tre mesi di non conformità, fino a 50.000-100.000 USD al mese dopo sei mesi di non conformità. In caso di violazione dei dati, i commercianti o i fornitori di servizi non conformi possono essere multati da 50 a 90 USD per cliente fino a un massimo di 500.000 USD.

    I marchi di carte di pagamento possono imporre multe molto più alte a loro discrezione, e la sanzione finale negoziata per la non conformità agli standard PCI DSS di un'organizzazione - in particolare la non conformità che porta a una violazione dei dati - può arrivare a milioni o centinaia di milioni di dollari per coprire i costi delle indagini, delle richieste di risarcimento da parte del governo, delle azioni legali collettive e altro ancora.

    Oltre a incorrere in multe, alle organizzazioni non conformi potrebbe essere vietato elaborare transazioni con carta di pagamento.

    Quali sono i vantaggi della conformità PCI DSS?

    Protezione dei dati sensibili

    Le conseguenze di una violazione dei dati che coinvolge i dati dei titolari di carte sono gravi. Oltre a multe, sanzioni legali e danni alla reputazione, le organizzazioni possono subire la perdita di clienti effettivi e potenziali. I requisiti del PCI DSS aiutano a difendersi dal furto di dati sensibili.

    Aumento della fiducia dei clienti

    Poiché le frodi e il furto di identità sono spesso in prima pagina, i consumatori potrebbero essere riluttanti a fornire ai rivenditori i dati sensibili delle carte di credito. La conformità PCI DSS aiuta i clienti a fidarsi della protezione dei propri dati, consentendo loro di essere più sicuri quando effettuano acquisti.

    Supporto di una più ampia conformità normativa

    Sebbene il PCI DSS non sia un mandato legale, i controlli di sicurezza che mette in atto possono aiutare le organizzazioni a raggiungere la conformità alle normative governative. Porzioni di PCI DSS sono complementari alle leggi sulla protezione dei dati quali l'Health Insurance Portability and Accountability Act of 1996 (HIPAA), il Sarbanes Oxley Act (SOX) e il Regolamento generale sulla protezione dei dati (GDPR).

    Soluzioni correlate
    IBM Security and Compliance Center

    Affronta la sicurezza unificata, la conformità e la visibilità dei rischi in ambienti ibridi multicloud.

    Esplora IBM Security and Compliance Center
    Soluzioni IBM Cloud

    Crea un'infrastruttura scalabile a un costo inferiore, implementa istantaneamente nuove applicazioni e scala i workload sensibili e mission-critical in base alla domanda, il tutto all'interno di una piattaforma con piena sicurezza.

    Esplora le soluzioni
    Risorse Cost of a data breach 2023

    Preparati meglio alle violazioni comprendendone le cause e i fattori che aumentano o riducono i costi. Impara dalle esperienze di oltre 550 organizzazioni colpite da una violazione dei dati.

    Cosa sono le informazioni di identificazione personale (PII)?

    Le PII sono tutte le informazioni che possono essere utilizzate per scoprire l'identità di un individuo, ad esempio codice fiscale, nome completo o indirizzo e-mail.

    Che cos'è la sicurezza di rete?

    La sicurezza di rete è il campo della sicurezza informatica incentrato sulla protezione delle reti di computer da minacce informatiche.

    Fai il passo successivo

    Hai domande su un programma di conformità? Hai bisogno di un report di conformità protetto? Ti aiutiamo noi.

    Scopri altri programmi di conformità