Home News Standard PCI per i pagamenti elettronici: ecco l’aggiornamento
Standard PCI per i pagamenti elettronici: ecco l’aggiornamento PDF Stampa E-mail
Mercoledì 08 Aprile 2015 11:00

Standard PCI per i pagamenti elettronici: ecco l'aggiornamento

Un cambiamento nei processi e nei regolamenti per i sistemi di e-payments che uscirà a fine mese penalizzerà tutti gli store di e-commerce che continueranno a basare i propri metodi di pagamento online su protocolli crittografici obsoleti.

Il PCI Security Standards Council ha aggiornato lo standard alla versione PCI DSS 3.1, obbligando di fatto le aziende certificate ad allontanarsi dal protocollo SSL per usare invece il più moderno TLS.

Secondo il PCI, le modifiche sono state introdotte come risposta necessaria ai recenti exploit (HeartbleedShellshock, Poodle, FREAK, ecc.) che sfruttano alcune carenze di sicurezza dei protocolli di più datati, come SSLv3.

Il risultato pratico è che le aziende di e-commerce devono assicurarsi che i loro server Web siano configurati per lavorare solo con il protocollo TLS, ed escludere completamente il supporto SSL, soprattutto se vogliono evitare un aumento delle spese di elaborazione dei pagamenti dovute alle multe applicate dallo standard qualora qualcosa non dovesse funzionare come dovrebbe. Alla stessa stregua, anche le app mobile dedicate all’e-commerce devono essere aggiornate secondo le indicazioni più recenti.

Il protocollo di crittografia TLS è l’evoluzione del precedente SSL ed entrambi utilizzano gli stessi certificati per la sicurezza. Questa caratteristica permette alla maggior parte delle imprese di non dover richiedere un nuovo certificato attendibile alla propria CA di riferimento.

Michael Aminzade, responsabile Trustwave per i servizi di conformità e dei rischi globali, ha confermato che la sfida più grande riguarda proprio il processo di pagamento, dal momento che molti shop online continuano a usare il protocollo SSL per proteggere i dati in transito dal portale di e-commerce alla centrale operativa durante le operazioni di pagamento.

L’aderenza allo standard PCI? Un’opportunità di lavoro!

Infatti, secondo un recente studio condotto da Verizon, quattro aziende su cinque continuano a non superare la conformità PCI oltre una valutazione intermedia e lo stesso studio ha rilevato che solo il 28,6 percento delle aziende richiedenti erano pienamente conformi agli standard PCI in meno di un anno dopo la convalida.

La relazione si basa sui risultati di migliaia di valutazioni PCI gestite da consulenti per lo più per le imprese di grandi dimensioni e dislocate in 30 paesi del mondo.

Lo standard PCI 3.0 è diventato obbligatorio dall’inizio di gennaio per tutte le imprese che memorizzano, elaborano o trasmettono dati relativi alle carte di pagamento.

E dal 2006, il PCI DSS è lo standard del settore delle carte di pagamento, anche se, in passato, lo standard è stato criticato perché alcuni sostengono che offre una sicurezza di base, con invito agli esercizi aderenti di “utilizzare un antivirus” e “proteggere i dati dei titolari di carta”, invece che adottare criteri più focalizzati sul business specifico.

Infatti, i piccoli shop possono aderire allo standard attraverso le norme di auto-valutazione, mentre le imprese più grandi sono obbligate ad assumere un consulente di qualità indipendente per eseguire verifiche specifiche. In questo modo, l’aderenza allo standard PCI diventa un’opportunità di lavoro per molti consulenti dell’ambito sicurezza.

 

Tutorial

Vuoi approfondire degli argomenti specifici? Segui i miei tutorial, per dubbi o domande contattami.

Vai ai tutorial

Flickr

Guarda le mie foto su Flickr. Hai bisogno di foto particolari? Vuoi imparare a fotografare? Contattami
flickr_logo

Servizi Online

Vuoi predisporre il tuo sito web personalizzato? Hai bisogno di aiuto o consulenza?

Acquista i servizi online

Contattami

Per approfondimenti o informazioni su corsi di formazione o lavori contattami.

Richiedi uno scambio link con il mio sito.