Criteri di sicurezza;
Organizzazione ai fini della sicurezza dei dati;
Gestione del patrimonio;
Sicurezza delle risorse umane;
Sicurezza fisica e ambientale;
Gestione delle comunicazioni e operazioni;
Controllo dell’accesso;
Acquisto, sviluppo e manutenzione di sistemi informatici;
Gestione degli incidenti relativi alla sicurezza informatica;
Gestione della continuità operativa;
Conformità.
Lo Standard PCI-DSS (Payment Card Industry-Data Security Standard) è uno standard di sicurezza, elaborato dai cinque principali brand di carte di credito, (Visa, MasterCard, American Express, Discover e JCB), creando le prime linee guida internazionali, ed i requisiti applicabili a qualsiasi azienda che tratti i PAN (Primary Account Number) delle carte; definendo così, per l’intero settore delle carte di pagamento, un insieme di requisiti tecnici, atti a proteggere i dati di una transazione.
Lo Standard PCI-DSS si applica a tutti gli esercenti e organizzazioni coinvolti in transazioni mediante carte di credito o debito, che accettano, trasmettono o memorizzano i dati, (ci si riferisce al Primary Account Number) dei titolari delle carte.
(1). – Sviluppo e gestione di una rete sicura;
(a). – Installare e mantenere aggiornato un firewall, utile a proteggere i dati dei titolari delle carte.
(2). – Protezione dei dati dei titolari delle carte;
(a). – Non archiviare dati inutili riferiti alla carta, come ad esempio il numero completo della carta, i dati della banda magnetica, il codice di verifica della carta (CVV2) o il PIN.
(3). – Mantenimento di un programma per la gestione delle vulnerabilità;
(a). – Crittografare i dati relativi ai titolari della carte e altre informazioni riservate durante la trasmissione su reti aperte e pubbliche.
(4). – Implementazione di rigide misure di controllo dell’accesso;
(a). – Limitare l’accesso ai dati dei titolari delle carte, alle sole persone autorizzate;
(b). – Assegnare un unico user ID ad ogni utente autorizzato all’accesso;
(c). – Limitare l’accesso fisico ai dati dei titolari delle carte
(5). – Monitoraggio e test regolari delle reti;
(a). – verificare regolarmente i sistemi ed i processi di sicurezza.
(6). – Gestione di una normativa per la sicurezza delle informazioni;
(a). – Implementare una policy riguardo alla sicurezza delle informazioni destinata sia ai dipendenti che a terze parti.
Processo complessivo di identificazione dei rischi, analisi dei rischi e valutazione dei rischi.
Processo di individuazione, riconoscimento e descrizione dei rischi. L’individuazione del rischio comporta l’individuazione delle fonti di rischio, degli eventi, delle cause e delle potenziali conseguenze. L’identificazione dei rischi può comprendere dati storici, analisi teoriche, pareri di esperti e necessità degli stakeholder.
Processo che serve a comprendere la natura del rischio e determinare il livello di rischio. L’analisi dei rischi costituisce la base per la valutazione dei rischi e le decisioni circa il trattamento dei rischi. L’analisi dei rischi include la stima del rischio.
