Il furto di credenziali delle carte di credito è un grande classico del cybercrime, in tutto il mondo; le tecniche aggressive degli hacker per sottrarre i dati sensibili dei conti correnti o delle informazioni bancarie portano a violazioni per aziende grandi e piccole. Nella più recente ricerca sulle frodi ai danni delle carte di pagamento, il Nilson Report ha rilevato perdite per 28.6 milioni di dollari nel 2020 (circa il 36% negli Stati Uniti), con una perdita stimata entro il 2030 di 408 milioni. Inoltre bisogna tenere presente che l’ultima ricerca del Census Bureau ha scoperto che le vendite dell’e-commerce sono salite dai 571.2 milioni di dollari del 2019 agli 815.4 del 2020 con un incremento del 43%.
In Italia la situazione dei pagamenti elettronici viene monitorata dalla Banca d’Italia, con un bollettino semestrale in cui vengono censiti tutti gli strumenti di pagamento alternativi al contante, tra cui le carte di debito e quelle di credito.
Parte di questi numeri si spiega con la trasformazione digitale indotta dalla pandemia da COVID-19, che ha portato a un incredibile aumento dello shopping on line, accelerando le transazioni digitali. Le aziende hanno iniziato a possedere quantità ingenti di dati di carte di pagamento in archivi sia on premise che in cloud (quest’ultimo è uno dei bersagli preferiti dagli hacker). Anche i pagamenti contactless sono diventati molto più frequenti.
Il PCI DSS 4.0 vuole migliorare la protezione nell’utilizzo delle carte di credito
Alla luce dell’aumento dell’e-commerce e delle frodi associate, Il PCI DSS Council ha stabilito che lo standard v3.2.1 del 2018 non fosse più in grado di proteggere i dati dei titolari di carte efficacemente. Il concilio, fondato nel 2006, include American Express, Discover, JCB International, MasterCard e Visa. Questi membri supervisionano lo standard e si adoperano per rafforzare i controlli di autenticazione forte e crittografia dei dati.
Il concilio ha comunicato l’evoluzione in PCIDSS 4.0 nel marzo del 2022, mettendo sull’avviso tutte le aziende che processano o archiviano i dati dei titolari di carte. Questi cambiamenti sono essenziali se si vuole che le carte di pagamento siano utilizzabili e sicure in questo momento storico. Il concilio sprona le aziende a valutare e rafforzare le loro posture di sicurezza, per far fronte alle nuove sfide.
Preparatevi per il PCI DSS 4.0
Per aiutarvi a velocizzare le procedure di adeguamento al PCI DSS 4.0 per la vostra azienda, FORTRA ha controllato le 12 disposizioni del nuovo standard e come le proprie soluzioni supportano un approccio stratificato alla sicurezza. La protezione dei dati sensibili e delle infrastrutture fondamentali con soluzioni convalidate vi permetterà di ridurre l’incidenza e l’impatto delle violazioni e delle relative sanzioni, la perdita di reputazione, l’interruzione dell’attività e la perdita di fiducia da parte dei clienti.
Roadmap dei cambiamenti
Come per qualsiasi richiesta di adeguamento di conformità, anche le novità introdotte dal PCI DSS 4.0 avranno un’adeguata pianificazione e stabilizzazione. La versione attuale, PCI DSS v3.2.1, rimarrà in vigore fino al 31 Marzo 2024, data in cui verrà sostituita con la v4.0. Con ciò si vuole dare tutto il tempo per comprendere i cambiamenti e pianificare le necessarie revisioni.
I 12 requisiti del PCI DSS 4.0
All’interno del PCI DSS 4.0 vi sono 12 requisiti che sono molto simili a quelli già presenti nella versione attuale. I nuovi standard, si concentrano più sulla conformità operativa e su come i controlli di sicurezza debbano essere implementati. Per aderire a questi requisiti in modo che venga potenziata la sicurezza – senza avere impatti sulla normale produttività – è necessario e più efficace avere un approccio stratificato.
- Installare e mantenere controlli di sicurezza sulla rete
- Applicare configurazioni sicure a tutti i componenti del sistema
- Proteggere i dati dell’account memorizzati
- Proteggere i dati dei titolari di carta con una forte crittografia durante la trasmissione su reti pubbliche e aperte.
- Proteggere tutti i sistemi e le reti dal malware.
- Sviluppare e mantenere sistemi e software sicuri
- Limitare l’accesso ai dati dei titolari di carta in base alle esigenze aziendali.
- Identificare gli utenti e autenticare l’accesso ai componenti del sistema.
- Limitare l’accesso fisico ai dati dei titolari di carta
- Registrare e monitorare tutti gli accessi ai componenti del sistema e ai dati dei titolari di carta.
- Testare regolarmente la sicurezza dei sistemi e delle reti
- Sostenere la sicurezza delle informazioni nell’ambito delle politiche e dei programmi organizzativi
Raggiungete i requisiti di conformità con le soluzioni di Fortra
Quando si devono trasferire file di dati sensibili all’interno e all’esterno di un’azienda sono coinvolti a vario titolo dipendenti, clienti e partner. Questi trasferimenti di file devono essere adeguatamente protetti per non diventare causa di data breach. Una soluzione come GoAnywhere Managed File Transfer di Fortra con i suoi protocolli sicuri e criptati è fondamentale per i trasferimenti quando i file contengono dettagli di carte di credito (numero identificativo, pin e altri dati sensibili). Abbiamo analizzato in dettaglio tutte le funzionalità relative alla conformità in questo articolo. GoAnywhere è una potente soluzione centralizza la gestione dei file transfer, che utilizza permessi basati su ruoli e crittografa i dati, in transito e archiviati, per ottenere la conformità PCI DSS e molte altre.
Per saperne di più, chiedeteci una demo o chiamateci allo 02 87366438.