PCI/DSS

A decorrere dal settembre 2007, tutte le aziende che gestiscono dati di titolari di carte di credito, indipendentemente dalle dimensioni delle aziende stesse, sono tenute all'osservanza di rigide norme di sicurezza emanate dalle maggiori società di carte di credito mondiali, comprese VISA e MasterCard. Questi requisiti sono noti come Payment Card Industry Data Security Standard (PCI DSS) e, ad oggi, disciplinano tutti i canali di pagamento, compresi la vendita al dettaglio, ordini per posta, telefonici e il commercio elettronico.

Il protocollo Payment Card Industry Data Security Standard

Dato che le società sono costantemente a rischio di perdere dati sensibili relativi ai titolari di carte di credito o debito, con conseguente possibilità di incorrere in multe, azioni legali e cattiva pubblicità, la conformità agli standard PCI DSS dovrebbe costituire uno dei principali obiettivi delle società che trattano, conservano, trasmettono o elaborano dati di carte di credito.

Inoltre, la conformità ai PCI DSS deve essere raggiunta entro dicembre 2007, che è la scadenza imposta dalle società di carte di credito. Le organizzazioni che non ottemperano a tali norme rischiano multe fino a 500.000 dollari USA in caso di perdita o furto dei loro dati e potrebbero non essere più autorizzate a gestire dati di titolari di carte di credito o debito.

La struttura PCI DSS è suddivisa in 12 requisiti di protezione organizzati in 6 categorie; i passi principali da seguire per rispettare tali requisiti si possono riassumere in:

1. raccolta e archiviazione di tutti i dati di registro (log), affinché siano disponibili a fini di analisi

2. creazione di rapporti su tutta l'attività, in modo da poter provare immediatamente la propria ottemperanza alle norme

3. monitoraggio e avvisi, per far sì che gli amministratori siano sempre in grado di controllare l'accesso e l'utilizzo dei dati e possano essere avvertiti immediatamente in caso di problemi.

A decorrere dal 31 dicembre 2007, tutte le aziende che gestiscono dati di titolari di carte di credito, indipendentemente dalle dimensioni delle aziende stesse, sono tenute all'osservanza di rigide norme di sicurezza emanate dalle maggiori società di carte di credito mondiali.

La norma è stata recentemente aggiornata (Ottobre 2010) e il 01 Gennaio 2011 è entrata in vigore la versione PCI DSS 2.0

La registrazione dei log è fondamentale per rispettare i requisiti PCI DSS, poiché i log (registri) forniscono "audit trail" di tutte le attività eseguite sui dati e sui sistemi.

Alla registrazione dei log fa riferimento uno dei 12 punti in cui sono suddivisi gli standard. Il punto 10 infatti elenca un insieme di log che vanno monitorati e conservati.