| Cognome | |
| Password | |
| Ho letto e accetto l'informativa sulla privacy | |
| Desidero ricevere la Newsletter di PMI-dome.com | |
IL NETWORK PER LE PICCOLE E MEDIE IMPRESE
Standard di sicurezza per le carte di credito
Quando i clienti danno la loro carta di credito a un esercente o quando pagano via Internet o per telefono, vogliono avere la sicurezza che le informazioni sul loro conto siano al sicuro.
di Stefano Bonacina |
12 aprile 2007
È per questo motivo che American Express, Discover Financial Services,
JCB, MasterCard Worldwide, e Visa International hanno unito i loro
sforzi per formare il PCI Security Standards Council con lo scopo di migliorare la sicurezza dei dati dei conti di pagamento promuovendo l’adozione del PCI Data Security Standards.
Lo standard è una pattaforma unica che incorpora le direttive di sicurezza che già ogni azienda di carte di credito richiedeva di implementare a chi gestisse le transazioni, come ad esempio l’SDP Program per Mastercard e il Cardholder Information Security Program (CISP), già in uso da alcuni anni.
Con la crescente quantità di dati che inonda la rete, cresce proporzionalmente anche la minaccia di frodi online perpetrate grazie al furto di informazioni.
Il PCI data security standard è un set di specifiche progettato per prevenire le frodi e protegere la privacy dei consumatori laddove informazioni sensibili siano trasmesse sulla rete e memorizzate nella rete di un’azienda.
Tutte le istituzioni finanziarie, gli esercenti, le aziende che emettono carte di credito, che utilizzino componenti di sistema (“system components" nella definizione dello standard) per memorizzare, elaborare e trasmettere i dati dei possessori di carte di credito sulla rete dovranno rispettare lo standard PCI.
Nel giugno 2006 il PCI ha rilasciato la versione 1.1 del DSS e ne chiede l’implementazione entro la metà del 2008: ogni azienda di carte di credito ha comunque stabilito una serie di sanzioni e multe associate alla non adeguatezza allo standard, con lo scopo di incoraggiarne la messa in opera.
I requisiti di sicurezza descritti si applicano a tutte le componenti del sistema, ovvero a tutti gli elementi della rete, ai server e anche alle applicazioni coinvolte nel processo di gestione dei dati del cliente: sono 12 regole suddivise in 6 macroaree:
Costruire e gestire una rete sicura
o Requisito 1: Installare e gestire una configurazione con firewall per proteggere i dati associati alle carte di credito
o Requisito 2: non utilizzare le password di default fornite dai produttori per gli utenti di sistema e per alter configurazioni di sicurezza
Protezione dei dati del possessore della carta
o Requisito 3: Proteggere i dati memorizzati del possessore della carte
o Requisito 4: crittografare le trasmissioni dei dati sulle reti aperte e
Mantenere un programma di gestione delle vulnerabilità
o Requisito 5: utilizzare e aggiornare regolarmente programme antivirus
o Requisito 6: sviluppare e mantenere sistemi e applicazioni sicure
Implementare misure di controllo degli accessi forti e secure
o Requisito 7: restringere l’accesso ai dati dei clienti in base alle necessità di business
o Requisito 8: assegnare un ID unico a chiunque abbia l’accesso ai sistemi informativi
o Requisito 9: restringere l’accesso fisico ai dati dei clienti
Monitorare e verificare regolarmente la rete
o Requisito 10: tracciare e monitorare tutti gli accessi alle risorse di rete e ai dati dei possessori di carte di credito
o Requisito 11: verificare regolarmente i sistemi e i processi di sicurezza
o Maintain an Information Security Policy
o Requisito 12: mantenere una policy di sicurezza per dipendenti e consulenti
Sebbene la maggior parte dei requisiti non introduca nessuna novità riguardo quanto dovrebbe già essere normalmente applicato dalle aziende che gestiscono i dati dei possessori di carte di credito, alcuni sono invece più difficilmente implementabili, e richiedono nuovi sistemi di verifica della sicurezza: il punto 10, ad esempio, richiede di tracciare e monitorare gli accessi alle risorse di rete e ai dati dei possessori di carte di credito. Normalmente l’operazione di tracciamento (o di scrittura di un log o di un audit trail) viene effettuata per le transazioni, e raramente per le operazioni di interrogazione, che sono invece quelle che danno origine alla fuga di informazioni e quindi al furto di identità e alla frode.
Per correre ai ripari si possono percorrere due strade alternative: la prima prevede di modificare i programmi attualmente in produzione, inserendo l’attività di memorizzazione anche degli accessi di sola lettura ai record relativi ai dati delle carte di credito; si parla di un’attività di modifica non del tutto esente da rischi (come avviene ogni qualvolta si modifiche un programma in un ambiente di produzione). La seconda possibilità è offerta da quegli strumenti che si affiancano ai sistemi correntemente in uso e che permettono di catturare ogni tipo di attività verso un mainframe, un server, un web server e similari, e di memorizzarla in un database separato, consentendo sia controlli in tempo reale che a posteriori.
Anche il punto 6, che concerne lo sviluppo e il mantenimento di sistemi e applicazioni sicure, costituisce una delle sfide più ardue da affrontare: sebbene, infatti, esistano prassi consolidate per implementare sistemi sicuri dal punto di vista del layer operativo, sussistono approcci diversi per la protezione dell’ambiente applicativo. Sarà quindi necessario implementare sistemi di sicurezza anche a questo livello, per assicurare che tutte le informazioni sensibili siano protette.
In questo ambito trovano spazio i prodotti di Web Application Security che, secondo un recente rapporto di Forrester Research, sono ancora poco adottati, ma incontreranno un utilizzo sempre crescente nelle aziende, soprattutto in quelle finanziarie.
Lo standard è una pattaforma unica che incorpora le direttive di sicurezza che già ogni azienda di carte di credito richiedeva di implementare a chi gestisse le transazioni, come ad esempio l’SDP Program per Mastercard e il Cardholder Information Security Program (CISP), già in uso da alcuni anni.
Con la crescente quantità di dati che inonda la rete, cresce proporzionalmente anche la minaccia di frodi online perpetrate grazie al furto di informazioni.
Il PCI data security standard è un set di specifiche progettato per prevenire le frodi e protegere la privacy dei consumatori laddove informazioni sensibili siano trasmesse sulla rete e memorizzate nella rete di un’azienda.
Tutte le istituzioni finanziarie, gli esercenti, le aziende che emettono carte di credito, che utilizzino componenti di sistema (“system components" nella definizione dello standard) per memorizzare, elaborare e trasmettere i dati dei possessori di carte di credito sulla rete dovranno rispettare lo standard PCI.
Nel giugno 2006 il PCI ha rilasciato la versione 1.1 del DSS e ne chiede l’implementazione entro la metà del 2008: ogni azienda di carte di credito ha comunque stabilito una serie di sanzioni e multe associate alla non adeguatezza allo standard, con lo scopo di incoraggiarne la messa in opera.
I requisiti di sicurezza descritti si applicano a tutte le componenti del sistema, ovvero a tutti gli elementi della rete, ai server e anche alle applicazioni coinvolte nel processo di gestione dei dati del cliente: sono 12 regole suddivise in 6 macroaree:
Costruire e gestire una rete sicura
o Requisito 1: Installare e gestire una configurazione con firewall per proteggere i dati associati alle carte di credito
o Requisito 2: non utilizzare le password di default fornite dai produttori per gli utenti di sistema e per alter configurazioni di sicurezza
Protezione dei dati del possessore della carta
o Requisito 3: Proteggere i dati memorizzati del possessore della carte
o Requisito 4: crittografare le trasmissioni dei dati sulle reti aperte e
Mantenere un programma di gestione delle vulnerabilità
o Requisito 5: utilizzare e aggiornare regolarmente programme antivirus
o Requisito 6: sviluppare e mantenere sistemi e applicazioni sicure
Implementare misure di controllo degli accessi forti e secure
o Requisito 7: restringere l’accesso ai dati dei clienti in base alle necessità di business
o Requisito 8: assegnare un ID unico a chiunque abbia l’accesso ai sistemi informativi
o Requisito 9: restringere l’accesso fisico ai dati dei clienti
Monitorare e verificare regolarmente la rete
o Requisito 10: tracciare e monitorare tutti gli accessi alle risorse di rete e ai dati dei possessori di carte di credito
o Requisito 11: verificare regolarmente i sistemi e i processi di sicurezza
o Maintain an Information Security Policy
o Requisito 12: mantenere una policy di sicurezza per dipendenti e consulenti
Sebbene la maggior parte dei requisiti non introduca nessuna novità riguardo quanto dovrebbe già essere normalmente applicato dalle aziende che gestiscono i dati dei possessori di carte di credito, alcuni sono invece più difficilmente implementabili, e richiedono nuovi sistemi di verifica della sicurezza: il punto 10, ad esempio, richiede di tracciare e monitorare gli accessi alle risorse di rete e ai dati dei possessori di carte di credito. Normalmente l’operazione di tracciamento (o di scrittura di un log o di un audit trail) viene effettuata per le transazioni, e raramente per le operazioni di interrogazione, che sono invece quelle che danno origine alla fuga di informazioni e quindi al furto di identità e alla frode.
Per correre ai ripari si possono percorrere due strade alternative: la prima prevede di modificare i programmi attualmente in produzione, inserendo l’attività di memorizzazione anche degli accessi di sola lettura ai record relativi ai dati delle carte di credito; si parla di un’attività di modifica non del tutto esente da rischi (come avviene ogni qualvolta si modifiche un programma in un ambiente di produzione). La seconda possibilità è offerta da quegli strumenti che si affiancano ai sistemi correntemente in uso e che permettono di catturare ogni tipo di attività verso un mainframe, un server, un web server e similari, e di memorizzarla in un database separato, consentendo sia controlli in tempo reale che a posteriori.
Anche il punto 6, che concerne lo sviluppo e il mantenimento di sistemi e applicazioni sicure, costituisce una delle sfide più ardue da affrontare: sebbene, infatti, esistano prassi consolidate per implementare sistemi sicuri dal punto di vista del layer operativo, sussistono approcci diversi per la protezione dell’ambiente applicativo. Sarà quindi necessario implementare sistemi di sicurezza anche a questo livello, per assicurare che tutte le informazioni sensibili siano protette.
In questo ambito trovano spazio i prodotti di Web Application Security che, secondo un recente rapporto di Forrester Research, sono ancora poco adottati, ma incontreranno un utilizzo sempre crescente nelle aziende, soprattutto in quelle finanziarie.
Stefano Bonacina - http://connexioni.blogspot.com/
Stefano Bonacina è CTO, o anche Direttore Tecnico, di Advanction, una società che propone soluzioni strategiche nell'ambito della protezione delle informazioni aziendali, delle architetture avanzate - Grid computing - e della finanza. Lavora come Director in Intelligrate, una società che si occupa di Competitive Intelligence, Text Mining e Sicurezza. Al contempo tengo seminari e corsi e collaboro con siti e pubblicazioni. Precedentemente (1998-2003) ho lavorato in Fineco SIM e Banca Fineco, di cui ho diretto i sistemi informativi dal 2000, sono stato IT System and Project Manager in St Microelectronics dal 1990 al 1998 Sono membro della Society of Competitive Intelligence Professionals e della Information Systems Security Assosiacion, nonché vicepresidente della XML Finance Association
Condividi
Come calcolare l'IMU
Due nuove aliquote e uno strumento per semplificare il calcoloBIT 2012
La Borsa internazionale del Turismo riapre i battenti con tante importanti novitàOnline il modello 730/12 editabile
Disponibile sul sito dell’Agenzia delle EntrateLa stampante ci spia
Uffici e aziende sono zeppe di stampanti con funzionalità sofisticate di scansione, stampa, copia, invio e ricezione fax, condivisione di rete... Ma siamo proprio sicuri che questi dispositivi non facciano niente altro che il loro onesto mestiere?
Accesso rapido
Copyright © 2011 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER S.p.A. Tutti i diritti sono riservati.
. Per la pubblicità: Master Advertising S.r.L. Per contattare la redazione: redazione@i-dome.com | Informativa.
Testata giornalistica registrata al Tribunale di Milano al n° 86 del 11.2.2002
. Per la pubblicità: Master Advertising S.r.L. Per contattare la redazione: redazione@i-dome.com | Informativa.Testata giornalistica registrata al Tribunale di Milano al n° 86 del 11.2.2002