Inizia a vendere subito con Shopify

Inizia la tua prova gratuita con Shopify oggi stesso, quindi utilizza queste risorse come guida in tutte le fasi del processo.

Inizia gratis
blog|Adempimenti legali

Che cos'è lo standard PCI DSS? Requisiti e conformità

Scopri lo standard PCI DSS. Informati sui livelli di conformità, i requisiti e le best practice per le aziende che accettano pagamenti online.

di
Aggiornato in data
un segno di spunta verde in una casella

Lo shopping online è ormai una consuetudine per la maggior parte delle persone. Clicchiamo, acquistiamo e le nostre informazioni vengono elaborate con facilità, il tutto con la certezza che i nostri dati finanziari siano al sicuro. Ma ti sei mai chiesto cosa succede dietro le quinte per garantire questa sicurezza?

La risposta sta in una serie di standard di sicurezza chiamati PCI DSS. Di seguito scoprirai i requisiti che si celano dietro questa sigla e cosa significa sia per i venditori online che per i clienti.

Che cos'è lo standard PCI DSS (Payment Card Industry Data Security Standard)?

PCI DSS sta per Payment Card Industry Data Security Standard. Si tratta di un insieme di requisiti di sicurezza imposti dai principali circuiti di carte di credito (Visa, Mastercard, American Express, Discover e JCB) per garantire che le aziende che gestiscono i dati dei titolari delle carte lo facciano in modo sicuro. Vedilo come un regolamento per proteggere le informazioni di pagamento sensibili dei clienti.

Il PCI DSS è supervisionato da un gruppo indipendente di esperti, il PCI Security Standards Council (PCI SSC), fondato nel 2006. Questi standard si applicano a qualsiasi organizzazione che accetta, trasmette o memorizza dati relativi a carte di credito, indipendentemente dalle dimensioni o dal volume delle transazioni. 

Ciò include aziende come negozi e fornitori di servizi, ma si estende anche alle organizzazioni no profit e ad altre che potrebbero gestire pagamenti con carta. È importante notare che, anche se si esternalizza l'elaborazione dei pagamenti, si è comunque responsabili della conformità allo standard PCI DSS per garantire la protezione dei dati delle carte di credito dei clienti.

Qual è lo scopo del PCI DSS?

Il principale obiettivo del PCI DSS è mantenere al sicuro le informazioni sensibili dei titolari delle carte, inclusi numeri di carte di debito e credito, date di scadenza e codici di sicurezza. Richiedendo misure di sicurezza dei pagamenti efficaci, il PCI DSS aiuta le aziende a ridurre le violazioni dei dati, il furto d'identità e le frodi con carta di credito. Stabilisce inoltre aspettative chiare su come le organizzazioni dovrebbero gestire informazioni sensibili, creando un ambiente più sicuro per tutti gli interessati.

6 principi del PCI DSS

Il PCI DSS copre 12 requisiti chiave, organizzati in sei gruppi, noti come obiettivi di controllo. Gli obiettivi di controllo sono:

  1. Costruire e mantenere una rete e sistemi sicuri
  2. Proteggere i dati dei titolari di carta
  3. Mantenere un programma di gestione delle vulnerabilità
  4. Implementare misure di controllo degli accessi efficaci
  5. Monitorare e testare regolarmente le reti
  6. Mantenere una politica di sicurezza delle informazioni

12 requisiti del PCI DSS

L'ultima versione dello standard è il PCI DSS 4.0 (rilasciato a marzo 2022), che include i seguenti 12 requisiti chiave di conformità:

  1. Installare e mantenere una configurazione del firewall per proteggere i dati dei titolari di carta.
  2. Non utilizzare le impostazioni predefinite fornite dai fornitori per le password di sistema e altri parametri di sicurezza.
  3. Proteggere i dati dei titolari di carta memorizzati.
  4. Crittografare la trasmissione dei dati dei titolari di carta attraverso reti aperte e pubbliche.
  5. Proteggere tutti i sistemi contro malware e aggiornare regolarmente software o programmi antivirus.
  6. Sviluppare e mantenere sistemi e applicazioni sicuri.
  7. Limitare l'accesso ai dati dei titolari di carte di credito in base alle esigenze aziendali.
  8. Identificare e autenticare l'accesso ai componenti di sistema.
  9. Limitare l'accesso fisico ai dati dei titolari delle carte.
  10. Monitorare e registrare tutti gli accessi alle risorse di rete e ai dati dei titolari delle carte.
  11. Testare regolarmente i sistemi e i processi di sicurezza.
  12. Mantenere una politica che affronti la sicurezza delle informazioni per tutto il personale.

Livelli di conformità al PCI DSS

In qualità di merchant, devi garantire la conformità allo standard PCI DSS: il modo in cui dimostri di averla ottenuta dipende dal volume delle transazioni e dai metodi di elaborazione utilizzati. Esistono quattro livelli principali di conformità allo standard PCI DSS per le aziende o le organizzazioni.

Livello 1

Le aziende di livello 1 elaborano più di sei milioni di transazioni con carta all'anno e devono rispettare i requisiti più rigorosi. I mega-merchant a questo livello devono:

  • Completare un report annuale di conformità (ROC) lavorando con un valutatore di sicurezza qualificato (QSA)
  • Sottoporsi a scansioni trimestrali delle vulnerabilità della rete e a test di penetrazione annuali
  • Completare un'attestazione di conformità (AOC), che deve essere firmata anche dal QSA

Livello 2

I merchant che elaborano tra un milione e sei milioni di transazioni con carta all'anno rientrano nel Livello 2. A questo livello, devi:

  • Completare un questionario di autovalutazione annuale (SAQ)
  • Eseguire scansioni trimestrali delle vulnerabilità della rete
  • Completare un AOC

Potresti essere tenuto a far attestare il tuo SAQ da una società QSA di terze parti a livello PCI 2. Inoltre, potresti dover presentare una scansione trimestrale delle vulnerabilità della rete.

Livello 3

Questo livello si applica a tutte le aziende e organizzazioni che elaborano tra le 20.000 e un milione di transazioni con carta all'anno, e a tutti i merchant ecommerce. Il Livello 3 impone di:

  • Completare un SAQ annuale
  • Eseguire scansioni trimestrali della rete
  • Completare un AOC

Potresti anche dover presentare una scansione trimestrale delle vulnerabilità della rete.

Livello 4

Il Livello 4 si applica a piccole aziende con meno di 20.000 transazioni all'anno. A questo livello devi:

  • Completare un SAQ annuale
  • Eseguire scansioni trimestrali della rete (la segnalazione non è richiesta)
  • Completare un AOC

Potresti anche dover presentare una scansione trimestrale delle vulnerabilità della rete.

Vantaggi e svantaggi della conformità al PCI DSS

Sebbene l'implementazione e il mantenimento dello standard PCI DSS comportino alcuni costi, questi sono molto inferiori rispetto ai problemi che può causare una violazione dei dati. Inoltre, la conformità allo standard PCI DSS crea fiducia nei clienti, rendendo l'investimento davvero vantaggioso. Ecco cosa puoi aspettarti:

Vantaggi del PCI DSS

  • Meno problemi di sicurezza: una maggiore sicurezza dei dati ostacola il furto delle informazioni dei clienti da parte degli hacker, riducendo lo stress e le interruzioni dell'attività aziendale. 
  • Relazioni più solide con i clienti: la conformità allo standard PCI DSS dimostra ai clienti il tuo impegno nella protezione delle loro informazioni finanziarie, rafforzando la fiducia e la fedeltà.
  • Riduzione dei costi a lungo termine: evita multe salate, costose cause legali e danni alla reputazione associati alle violazioni dei dati, proteggendo in modo proattivo le informazioni sensibili.

Svantaggi del PCI DSS

  • Costi di configurazione: la conformità allo standard PCI DSS comporta costi iniziali per gli strumenti di sicurezza e la formazione dei dipendenti. 
  • Gestione continua: mantenere la conformità allo standard PCI richiede controlli regolari dei sistemi, aggiornamenti delle protezioni di sicurezza e la verifica dell'aggiornamento professionale dei dipendenti.
  • Contesto in continua evoluzione: l'evoluzione delle minacce e i progressi tecnologici comportano continui cambiamenti nel settore e le aziende devono adattarsi per stare al passo.
  • Complessità: le specifiche dello standard PCI DSS possono essere complesse. A seconda delle dimensioni e del tipo di attività, potrebbe essere necessario l'aiuto di un professionista per configurarlo correttamente.

Best practice per la conformità al PCI DSS

Ecco alcune best practice per aiutarti a garantire la conformità e gestire in modo sicuro le informazioni di pagamento dei clienti:

  1. Limita l'accesso: i dati privati dei clienti dovrebbero rimanere accessibili solo a chi ne ha realmente bisogno. Solo i dipendenti che necessitano di tali informazioni per le loro mansioni dovrebbero avere accesso ai dati dei titolari delle carte.
  2. Costruire difese solide: investi in strumenti di sicurezza come firewall e software antivirus per proteggere i tuoi sistemi e aggiornali regolarmente.
  3. Tieni il tutto separato: un'infrastruttura di rete sicura implica la segmentazione delle reti per separare i dati dei titolari delle carte da altre parti.
  4. Usa la crittografia: quando memorizzi o trasmetti dati dei clienti, utilizza la crittografia per rendere le informazioni illeggibili agli utenti non autorizzati.
  5. Esegui controlli regolari: aggiorna i sistemi e il software con le patch di sicurezza.
  6. Forma i tuoi team: educa e forma i tuoi dipendenti sulle best practice in materia di sicurezza dei dati per evitare violazioni accidentali.
  7. Usa password sicure: imposta requisiti di complessità delle password e cambi regolari delle stesse, e attiva l'autenticazione a due fattori.
  8. Mantieni registri di audit: conserva registri di audit dettagliati per monitorare l'attività del sistema.
  9. Abbi un piano: sviluppa un piano per rispondere rapidamente ed efficacemente agli incidenti di sicurezza.
  10. Formalizza la politica: stabilisci una politica di sicurezza delle informazioni a livello aziendale che copra la gestione e la protezione dei dati dei titolari delle carte.

Ricorda, la conformità al PCI DSS è un processo continuo. Seguendo queste best practice, puoi ridurre significativamente il rischio di violazioni dei dati e proteggere la tua attività e i tuoi clienti.

Rimani conforme con Shopify Payments

Buone notizie per i venditori Shopify: abbiamo lavorato per voi. Shopify è conforme allo standard PCI DSS e tale conformità si estende di default a tutti i negozi gestiti da Shopify. 

Ciò significa che archiviamo in modo sicuro le informazioni di fatturazione e spedizione dei clienti su server conformi allo standard PCI. Verifichiamo la conformità attraverso valutazioni annuali e gestiamo in modo proattivo i rischi continui. La nostra conformità copre tutte e sei le categorie standard PCI e si applica a tutti i negozi che utilizzano la nostra piattaforma.

In breve, quando scegli Shopify per gestire il tuo negozio, puoi stare tranquillo sapendo che abbiamo investito tempo e denaro significativi per mantenere la nostra certificazione PCI di livello 1 e proteggere ogni transazione. Il tuo negozio, il suo carrello della spesa e il suo hosting web sono tutti coperti.

Inizia ad accettare pagamenti rapidamente con Shopify Payments

Salta le lunghe attivazioni di terze parti e passa dalla configurazione alla vendita in un clic. Shopify Payments è incluso nel tuo piano Shopify, tutto ciò che devi fare è attivarlo.

Scopri Shopify Payments

PCI DSS: domande frequenti

Cosa significa PCI DSS?

Il Payment Card Industry Data Security Standard, o PCI DSS, è lo standard di sicurezza delle informazioni utilizzato per gestire le carte di credito dei principali circuiti come Visa, Mastercard, American Express, Discover e JCB. Lo standard aiuta a prevenire violazioni dei dati, frodi e furti d'identità stabilendo le best practice per la sicurezza dei pagamenti. Sebbene non sia legalmente obbligatorio, le organizzazioni che elaborano pagamenti con carta sono contrattualmente obbligate a soddisfare i requisiti.

Quali sono le 4 aree coperte dal PCI DSS?

Il PCI DSS copre quattro aree principali:

  • Elaborazione di transazioni digitali e pagamenti tramite carte
  • Memorizzazione dei dati delle carte di pagamento
  • Trasmissione delle informazioni dei titolari di carta
  • Protezione dell'ambiente di elaborazione delle carte, inclusi i dispositivi POS, i fornitori e gli acquirenti.

Per cosa è richiesto il PCI DSS?

Il PCI DSS si applica a tutte le organizzazioni che elaborano, trasmettono e/o memorizzano informazioni sulle carte di pagamento, indipendentemente dalle dimensioni o dal numero di transazioni. Contiene anche requisiti per l'ambiente di elaborazione delle carte stesse, inclusi dispositivi di punto vendita (POS), server, reti, fornitori di servizi e processori di pagamento di terze parti.

SiI
di
Aggiornato in data
Condividi l’articolo
subscription banner
Non perderti le ultime novità di Shopify
Iscriviti al nostro blog per ricevere suggerimenti, idee e risorse gratuite per l’ecommerce direttamente nella tua casella di posta.

Puoi annullare l’iscrizione in qualsiasi momento. Inserendo la tua email accetti di ricevere email di marketing da Shopify.

Vendi ovunque con Shopify

Impara sperimentando. Prova Shopify gratuitamente per scoprire tutti gli strumenti e i servizi necessari ad avviare, gestire e far crescere la tua attività commerciale.

Inizia gratis

Inizia gratis e poi paghi 1 USD/mese per 3 mesi