Il Payment Card Industry Data Security Standard (PCI DSS) è il principale standard di sicurezza al quale si devono adeguare le società che gestiscono dati relativi a carte di credito e di debito. Le linee guida stabilite nel PCI DSS si occupano di come proteggere la gestione e l’elaborazione di questi dati.
Anche se la maggior parte dei gestori delle carte di pagamenti si impegna per evitare violazioni di dati per via degli obblighi di legge, la squadra forense di Verizon, che stila regolarmente report sulla Sicurezza del Pagamenti, non ha mai trovato un’organizzazione che fosse totalmente conforme al momento del data breach.
Non stiamo parlando di nuove modalità di esfiltrazione dei dati trovate dagli hacker: uno studio di SecurityMetrics del 2020 ha scoperto che tutti i punti deboli sfruttati per il furto di dati relativi ai pagamenti bancari erano già ampiamente previsti nel PCI DSS.
I primi 5 data breach del settore PCI
Ci sono stati molti furti di dati nel settore, durante gli ultimi anni, insieme a semplici falle di conformità scoperte dalle autorità. Ogni volta che dati di pagamento con carta di un utente vengono rubati, questo tipo di reato cade nell’area della non compliance PCI DSS. Normalmente la non conformità viene scoperta a seguito di un data breach: in assenza di alert o monitoraggi, è difficile che le falle della compliance vengano scoperte prima. Di seguito i 5 più famosi data breach avvenuti negli Stati Uniti.
1: Warner Music Group
MageCart, un insieme di gruppi di hacker che mira ai dati di pagamento online, si è concentrato su Warner Music Gropu per tre mesi, alla fine del 2020. I dati delle carte di credito, inclusi il numero della carta, il codice CVC/CVV e la data di scadenza sono stati trafugati. Il modus operandi di MageCart è di puntare alla supply chain, dove il software di terze parti può essere infettato e usato per sottrarre i dati dei titolari di carte.
2: Target
Nonostante gli alert ricevuti, Target ha perso i dati di 40 milioni di carte di credito nel 2013, uno dei data breach più impressionanti per il settore PCI DSS. Target aveva in funzione uno strumento per l’identificazione del malware da 1.6 milioni di dollari , ma per tre settimane ha ignorato gli avvisi inviati dal sistema di protezione. Il furto di dati che ne è derivato è costato a Target quasi 18.5 milioni in patteggiamenti in tutti gli USA e più di 202 milioni di spese legali.
3: Adobe
Su 38 milioni di utenti Adobe coinvolti nel furto di credenziali di accesso, 3 milioni di loro si sono anche visti rubare i dati delle loro carte di credito. Adobe successivamente ha offerto un anno di monitoraggio del credito a questi clienti ed è stata multata per 1 milione oltre a dover pagare una cifra non conosciuta per liquidare le richieste relative alla violazione del Customer Records Act.
4: Heartland Payment Systems
In una delle rare occasioni in cui è l’intermediario ad essere attaccato, Heartland Payment Systems – che processa le transazioni delle carte di pagamento per 175000 esercenti – è stata hackerata con un attacco SQL injection. Sia Visa che Mastercard avvertirono la società e questa fu inseguito interdetta dal servizio di elaborazione dati per i 14 mesi successivi alla scoperta. Hanno inoltre dovuto pagare 145 milioni a titolo di risarcimento.
5: Equifax
Nessuna lista dei maggiori data breach può essere completa senza Equifax. Con più di 143 milioni di Americani coinvolti, ovvero il 45% della popolazione USA dell’epoca (per non parlare di Inglesi e Canadesi, i cui dati furono parimenti hackerati), questa esflitrazione di dati ha avuto un enorme impatto. I dati perduti includevano numeri di carte sanitarie, date di nascita, indirizzi, numeri di patente e di carta di credito. Il patteggiamento ammontava a 425 milioni di dollari e gli utenti danneggiati possono ancora pretendere risarcimenti fino a Gennaio 2024, per le spese relative a qualsiasi furto di identità o frode a seguito della violazione di dati.
Quali sono i costi della non conformità PCI o di un data breach?
Solo il 27.9% delle aziende sono del tutto conformi con lo standard PCI DSS, secondo l’ultimo report Verizon Payment Security. Se la vostra società è tra lo sfortunato drappello che subisce una perdita di dati e si scopre in seguito la vostra non conformità con lo standard, è possibile che la vostra società debba pagare multe e ammende, oltre a patteggiamenti o rimborsi ai clienti.
Non Conformità
Le multe per la non conformità che previste negli USA dipendono da due fattori:
a) le dimensioni della società, determinate in base al numero di transazione processate per anno. Le società sono divise in 4 livelli, dove il quarto livello processa poche transazioni (e paga multe inferiori) e il primo ne ha un numero maggiore.
b) la durata della non conformità. Le multe hanno cadenza mensile, fino a che l’azienda non raggiunge la conformità. In capo alle aziende è anche la spesa per qualsiasi audit che confermi che hanno raggiunto la compliance con lo standard PCI DSS. Inoltre il vostro account con la banca emittente può essere revocato, quindi non sarete più in grado di processare pagamenti.
Furto di dati
La vostra società è a rischio per qualsiasi tipo di furto di dati, anche se siete perfettamente in regola con lo standard. Oltre alla multa, negli USA una società potrebbe essere tenuta a pagare più di 90$ per ogni record di carta di credito compromesso. I clienti statunitensi i cui dati sono stati rubati possono inoltre condurre azioni legali nella forma della class action.
Come essere conformi allo standard PCI DSS
Sebbene i furti di dati per pagamenti via carta siano ancora attribuiti ai sistemi POS, le app online sono oggi la migliore opportunità per violazioni relative alle vendite al dettaglio.
Ci sono alcuni semplice passi da compiere, da parte della squadra IT, per concordare una piattaforma comune di compliance PCI DSS in azienda.
- Rafforzare le politiche aziendali sulle password
- Restringere gli accessi ai sistemi e alle reti che archiviano dati di pagamenti
- Usare gli accessi basati su ruoli (RBA) per ridurre il numero di utenti che può vedere dati sensibili
- Condurre test con regolarità per monitorare eventuali falle.
La conformità PCI DSS non deve per forza essere complicata. Soluzioni di ampio respiro o di nicchia posso aiutarvi a colmare le lacune più comuni, perché la compliance PCI DSS è un’area che quasi tutte le aziende devono coprire. Un software di sicurezza può proteggere i vostri dati con una crittografia forte, dettagliati audit log per uso interno e esterno e alert per trasferimenti di file andati a buon fine oppure interrotti, così che possiate monitorare la situazione dei degli invii e delle ricezioni.
Come l’MFT aiuta la conformità PCI DSS
Un’efficace soluzione di file transfer gestito aiuta le aziende a risolvere molte dei problemi di sicurezza normalmente associati ai protocolli di file transfer. Il Managed File Transfer vi aiuta a proteggere i dati degli utenti, sia in sede che in transito, limitandone l’esposizione grazie alla crittografia e al trasferimento protetto su reti pubbliche e private.
Scoprite come una soluzione di MFT può aiutare la vostra azienda a evitare le più comuni insidie della conformità PCI, chiedeteci un colloquio.