Nome
Cognome
Email
Password
Ho letto e accetto l'informativa sulla privacy
Vi autorizzo al trattamento dei miei dati per ricevere informazioni promozionali mediante posta, telefono, posta elettronica, sms, mms, effettuare analisi statistiche, sondaggi d'opinione da parte di Edizioni Master S.p.A.
Si No
Vi autorizzo alla comunicazione dei miei dati per ricevere informazioni promozionali mediante posta, telefono, posta elettronica, sms, mms, effettuare analisi statistiche, sondaggi d'opinione da parte di aziende terze.
Si No
FacebookTwitterRSS
PMI Dome

Standard di sicurezza per le carte di credito

Quando i clienti danno la loro carta di credito a un esercente o quando pagano via Internet o per telefono, vogliono avere la sicurezza che le informazioni sul loro conto siano al sicuro.
di Stefano Bonacina
È per questo motivo che American Express, Discover Financial Services, JCB, MasterCard Worldwide, e Visa International hanno unito i loro sforzi per formare il PCI Security Standards Council con lo scopo di migliorare la sicurezza dei dati dei conti di pagamento promuovendo l’adozione del PCI Data Security Standards.

Lo standard è una pattaforma unica che incorpora le direttive di sicurezza che già ogni azienda di carte di credito richiedeva di implementare a chi gestisse le transazioni, come ad esempio l’SDP Program per Mastercard e il Cardholder Information Security Program (CISP), già in uso da alcuni anni.
Con la crescente quantità di dati che inonda la rete, cresce proporzionalmente anche la minaccia di frodi online perpetrate grazie al furto di informazioni.
Il PCI data security standard è un set di specifiche progettato per prevenire le frodi e protegere la privacy dei consumatori laddove informazioni sensibili siano trasmesse sulla rete e memorizzate nella rete di un’azienda.

Tutte le istituzioni finanziarie, gli esercenti, le aziende che emettono carte di credito, che utilizzino componenti di sistema (“system components" nella definizione dello standard) per memorizzare, elaborare e trasmettere i dati dei possessori di carte di credito sulla rete dovranno rispettare lo standard PCI.

Nel giugno 2006 il PCI ha rilasciato la versione 1.1 del DSS e ne chiede l’implementazione entro la metà del 2008: ogni azienda di carte di credito ha comunque stabilito una serie di sanzioni e multe associate alla non adeguatezza allo standard, con lo scopo di incoraggiarne la messa in opera.
I requisiti di sicurezza descritti si applicano a tutte le componenti del sistema, ovvero a tutti gli elementi della rete, ai server e anche alle applicazioni coinvolte nel processo di gestione dei dati del cliente: sono 12 regole suddivise in 6 macroaree:

Costruire e gestire una rete sicura
o Requisito 1: Installare e gestire una configurazione con firewall per proteggere i dati associati alle carte di credito
o Requisito 2: non utilizzare le password di default fornite dai produttori per gli utenti di sistema e per alter configurazioni di sicurezza

Protezione dei dati del possessore della carta
o Requisito 3: Proteggere i dati memorizzati del possessore della carte
o Requisito 4: crittografare le trasmissioni dei dati sulle reti aperte e

Mantenere un programma di gestione delle vulnerabilità
o Requisito 5: utilizzare e aggiornare regolarmente programme antivirus
o Requisito 6: sviluppare e mantenere sistemi e applicazioni sicure

Implementare misure di controllo degli accessi forti e secure
o Requisito 7: restringere l’accesso ai dati dei clienti in base alle necessità di business
o Requisito 8: assegnare un ID unico a chiunque abbia l’accesso ai sistemi informativi
o Requisito 9: restringere l’accesso fisico ai dati dei clienti

Monitorare e verificare regolarmente la rete
o Requisito 10: tracciare e monitorare tutti gli accessi alle risorse di rete e ai dati dei possessori di carte di credito
o Requisito 11: verificare regolarmente i sistemi e i processi di sicurezza
o Maintain an Information Security Policy
o Requisito 12: mantenere una policy di sicurezza per dipendenti e consulenti

Sebbene la maggior parte dei requisiti non introduca nessuna novità riguardo quanto dovrebbe già essere normalmente applicato dalle aziende che gestiscono i dati dei possessori di carte di credito, alcuni sono invece più difficilmente implementabili, e richiedono nuovi sistemi di verifica della sicurezza: il punto 10, ad esempio, richiede di tracciare e monitorare gli accessi alle risorse di rete e ai dati dei possessori di carte di credito. Normalmente l’operazione di tracciamento (o di scrittura di un log o di un audit trail) viene effettuata per le transazioni, e raramente per le operazioni di interrogazione, che sono invece quelle che danno origine alla fuga di informazioni e quindi al furto di identità e alla frode.

Per correre ai ripari si possono percorrere due strade alternative: la prima prevede di modificare i programmi attualmente in produzione, inserendo l’attività di memorizzazione anche degli accessi di sola lettura ai record relativi ai dati delle carte di credito; si parla di un’attività di modifica non del tutto esente da rischi (come avviene ogni qualvolta si modifiche un programma in un ambiente di produzione). La seconda possibilità è offerta da quegli strumenti che si affiancano ai sistemi correntemente in uso e che permettono di catturare ogni tipo di attività verso un mainframe, un server, un web server e similari, e di memorizzarla in un database separato, consentendo sia controlli in tempo reale che a posteriori.

Anche il punto 6, che concerne lo sviluppo e il mantenimento di sistemi e applicazioni sicure, costituisce una delle sfide più ardue da affrontare: sebbene, infatti, esistano prassi consolidate per implementare sistemi sicuri dal punto di vista del layer operativo, sussistono approcci diversi per la protezione dell’ambiente applicativo. Sarà quindi necessario implementare sistemi di sicurezza anche a questo livello, per assicurare che tutte le informazioni sensibili siano protette.

In questo ambito trovano spazio i prodotti di Web Application Security che, secondo un recente rapporto di Forrester Research, sono ancora poco adottati, ma incontreranno un utilizzo sempre crescente nelle aziende, soprattutto in quelle finanziarie.

Stefano Bonacina - http://connexioni.blogspot.com/

Stefano Bonacina è CTO, o anche Direttore Tecnico, di Advanction, una società che propone soluzioni strategiche nell'ambito della protezione delle informazioni aziendali, delle architetture avanzate - Grid computing - e della finanza. Lavora come Director in Intelligrate, una società che si occupa di Competitive Intelligence, Text Mining e Sicurezza. Al contempo tengo seminari e corsi e collaboro con siti e pubblicazioni. Precedentemente (1998-2003) ho lavorato in Fineco SIM e Banca Fineco, di cui ho diretto i sistemi informativi dal 2000, sono stato IT System and Project Manager in St Microelectronics dal 1990 al 1998 Sono membro della Society of Competitive Intelligence Professionals e della Information Systems Security Assosiacion, nonché vicepresidente della XML Finance Association

Condividi

Lascia un commento

Nome:

Mail:

Oggetto:

Commento:

CAPTCHA

Codice controllo:



Come calcolare l'IMU

Due nuove aliquote e uno strumento per semplificare il calcolo

A Milano si riunisce Alfresco

Una visione dall'interno di tutto il sistema dell'azienda e le prospettive di sviluppo nei prossimi anni

Perché equiparare la blogosfera con le testate giornalistiche tradizionali?

Si può fare del buon giornalismo anche senza alcuna tessera professionale, ma c’è chi afferma che nella blogosfera, c’è una netta prevalenza delle opinioni rispetto alle notizie. Riflessioni sul Fact-Checking e il Blog Power.

SE UN IMPIEGATO APRE UN E-SHOP, MEGLIO L'APPOGGIO DI UN COMMERCIALISTA

Accesso rapido