ROMA — Non solo gli utenti privati, ma anche gli esercenti di pubblici esercizi hanno il dovere di occuparsi della sicurezza dei pagamenti digitali.
Ogni volta che accetta un pagamento elettronico, infatti, il titolare dell’esercizio entra in contatto con alcuni dati molto sensibili. Tra questi: il numero della carta, il nome e cognome del titolare, il codice Pin.
Per un esercente, proteggere i dati – oltre ad essere un gesto di attenzione per i clienti – è anche un obbligo per legge.
Infatti esiste il cosiddetto Standard PCI-DSS (Payment Card Industry Data Security Standard). Si tratta di una normativa di sicurezza internazionale che impone agli esercenti e ai provider di servizi di proteggere i dati delle carte di pagamento.
Secondo quanto riportato dall’ultimo report del World Economic Forum, i cyber attack e i casi di furto massiccio di dati sono inclusi nei primi top 5 rischi in termini di probabilità di accadimento.
Le violazioni della sicurezza risultano più che duplicate negli ultimi 5 anni, passando da una media di 68 per azienda all’anno nel 2012 a 130 all’anno nel 2017.
Dopo un periodo di decrescita tra il 2010 e il 2012, il mercato nero del codice malevolo (malware) è tornato a crescere: solo nel 2016 sono state identificate 357 milioni di varianti di malware e i cosiddetti banking trojans per il furto delle credenziali utente possono essere reperiti per meno di 500 dollari.
Perché l’esercente deve proteggere i dati
Proteggere i dati delle transazioni digitali per l’esercente non è solo un obbligo, ma anche un vantaggio. Mantenendo i sistemi sicuri, i clienti potranno, infatti, fidarsi e affideranno con tranquillità i dati delle loro carte di pagamento.
Restando conforme, l’esercente è parte della soluzione al problema globale della compromissione dei dati delle carte di pagamento.
Questo vale soprattutto nelle piccole imprese che insieme agli esercenti, rappresentano più del 99% del tessuto produttivo italiano e generano oltre del 70% del valore aggiunto complessivamente prodotto a livello di sistema paese.
Il livello d’adozione delle soluzioni di information security, infatti, aumenta al crescere della dimensione aziendale, raggiungendo circa il 93% nelle medie imprese.
Nello specifico, circa il 44% di quest’ultime dispone di soluzioni tecnologiche ritenute sofisticate, quali sistemi di Intrusion Detection o di Identity and Access Management.
Nelle piccole imprese sono particolarmente diffusi strumenti di base quali ad esempio Antivirus e Antispam. Mentre le microimprese si mostrano le più esposte agli attacchi, con un 30% che non adotta alcun tipo di soluzione.
In generale nelle piccole imprese e ancor più negli esercenti sembrano sottovalutate le tematiche della creazione di consapevolezza tra i propri dipendenti e della formazione. Vi è inoltre un gap importante tra lo stato d’adozione di soluzioni di cybersecurity, sofisticate o di base, tra Nord e Sud Italia.
Il Nord mostra un utilizzo che si muove tra il 40% del Nord-Ovest e il 30% del Nord-Est. Le regioni del Centro e del Mezzogiorno, per contro, non superano il 20%, attestandosi rispettivamente al 19% e al 15%.
Secondo recenti indagini, il 70% degli attacchi ai dati della carta avviene ai danni di esercenti di piccole e medie dimensioni (National Cyber Security Alleance, 2016), e il 71% degli hacker (dati Verizon) attacca preferibilmente aziende con meno di 100 impiegati.
Cos’è lo standard PCI DSS e come funziona
Lo standard PCI DSS è stato ideato per garantire la protezione dei dati dei titolari di carta di credito. Sviluppato dai membri fondatori del PCI Security Standards Council, che includono American Express, Discover Financial Services, JCB, MasterCard Worldwide e Visa International, questo standard ha l’obiettivo di incoraggiare l’adozione internazionale di adeguate misure di protezione dei dati.
Lo standard si sviluppa secondo dodici requisiti tecnici ed operativi: la presenza di firewall; il non utilizzare valori predefiniti del fornitore per le password di sistema; la protezione dei dati dei titolari di carta memorizzati; cifrare i dati dei titolari di carta trasmessi su reti aperte e pubbliche; l’uso regolare e aggiornato di software antivirus; sistemi e applicazioni protette; accesso limitato a titolari di carta solo se effettivamente necessario; autenticazione dell’accesso ai componenti di sistema; limitazione dell’accesso fisico ai dati dei titolari di carta; la registrazione e il monitoraggio di tutti gli accessi alle risorse di rete; testare con regolarità i processi di protezione e una politica che garantisca la sicurezza delle informazioni per tutto il personale.
Chi applica lo standard PCI DSS Importante sottolineare che lo standard PCI DSS si applica a tutte i soggetti coinvolti nel processo di pagamento, con l’inclusione di esercenti, elaboratori, acquirenti, emittenti e provider di servizi, nonché di tutte le altre entità che si occupano di memorizzare, elaborare o trasmettere dati dei titolari di carta.
Cosa protegge
Lo Standard mira alla protezione dei dati di carta e questi sono tutti i dati che consentono di identificare la carta o il Cliente e che quindi devono essere protetti e trattati con la massima cura lungo l’intera filiera dei pagamenti elettronici.
Tra questi, i principali sono:
- Pan: Primary Account Number, il numero di 16 cifre che identifica univocamente la carta
- Nome e Cognome del titolare di carta
- Data di scadenza della carta
Anche i dati sensibili di autenticazione o SAD sono protetti dal PCI DSS e sono:
- Dati della banda magnetica: informazioni registrate all’interno della banda magnetica
- Chip: microprocessore contenente informazioni della carta
- CAV2/CID/CVC2/CVV2: codice di sicurezza numerico di 3-4 cifre
Le strategie di protezione dei vari circuiti
Tutti i circuiti internazionali di pagamenti digitali hanno programmi di protezione dei dati lato Merchant.
• Visa adotta Account Information Security (AIS) un programma di gestione del rischio sponsorizzato da Visa Europe e gestito dai membri Visa. L’AIS consiste nell’istituire e aderire agli standard di sicurezza per migliorare la protezione dei dati dei titolari di Carta Visa, e tutte le informazioni riguardanti le transazioni nell’ambiente di accettazione Visa. Il programma AIS si basa essenzialmente sullo Standard di Sicurezza PCI.
• Site Data Protection (SDP) è il programma di Mastercard a supporto dello standard di sicurezza PCI – DSS pensato per incoraggiare i customers, merchant e i service provider a tutelarsi contro gli eventi ADC (Account Data Compromise). Il programma SDP definisce l’Acquirer (ossia il soggetto al quale l’esercente richiede l’autorizzazione ad accettare il pagamento) come unico responsabile dell’implementazione del Programma PCI DSS.
• Nexi tramite il programma Pagamenti Protection Plus, rende disponibile una piattaforma applicativa on-line (fruibile anche dalla nuova App mobile Nexi Business) che, in modo semplice, supporta i propri Merchant nel processo di certificazione allo Standard PCI DSS. In particolare Nexi, per rispondere agli obblighi previsti dai Circuiti Visa Europe e MasterCard, supporta i propri Merchant nella profilazione ai fini PCI in considerazione della categoria di appartenenza; con un percorso formativo sui contenuti degli Standard per la protezione dei pagamenti; con un questionario di autocertificazione semplificato, e nell’accesso a convenzioni verso fornitori di servizi specialistici di supporto e verifica alla gestione della sicurezza.