Antonio DeMartinoIV_MMXIIISecurity

AGGIORNATO LO STANDARD DI SICUREZZA DEI DATI DI PAGAMENTO EFFETTUATI CON CARTE DI CREDITO

di Antonio de Martino

Il 7 Novembre 2013, è stata pubblicata la versione 3.0 dello standard “Payment Card Industry Data Security Standard”, meglio conosciuto come PCI-DSS. Si tratta di una raccolta di requisiti e raccomandazioni, che è stata sviluppata dal Payment Card Industry Security Standard Council (PCI SSC), che definisce le misure di protezione dei processi di gestione e trattamento dei dati provenienti dai pagamenti effettuati attraverso carta di credito. Ad oggi, il PCI SSC conta 670 organizzazioni partecipanti tra cui Luxottica, Paypal, Vodafone, Ingenico, Hertz, Dell, Cytrix e British Airways.


 

Negli ultimi anni, grazie all’incremento del volume degli acquisti online, è aumentato il numero di attacchi informatici con l’obiettivo di rubare i dati di carte di credito che ormai rappresentano uno dei principali strumenti di pagamento elettronico. Per affrontare questo problema, i maggiori circuiti internazionali di pagamento hanno avviato da diversi anni i propri programmi di sicurezza.

Lawful Interception per gli Operatori di Tlc

Di fatto, già nel 2001, VISA parte con il Cardholder Information Security Program (CISP), MasterCard avvia il suo Site Data Program (SDP) e nel 2002 American Express implementa per la prima volta il Data Security Operating Policy (DSOP). A dicembre del 2004 è stata pubblicata la versione 1.0 della PCI DSS, gestita da VISA e MasterCard e infine, nel settembre 2006, VISA, MasterCard, American Express, Discover e JCB hanno fondato il Payment Card Industry Security Standard Council pubblicando la versione 1.1 della norma.

Il PCI SSC ha come obiettivi lo sviluppo, l’aggiornamento, la pubblicazione e la diffusione dello standard PCI DSS che in particolare stabilisce i requisiti di sicurezza, nell’ambito dei sistemi di pagamento, laddove siano trasmessi, memorizzati o trattati i dati relativi a carte di credito e di debito(1). I dati di carte di credito possono essere classificati in dati del titolare della carta e dati sensibili di autenticazione.

I dati del titolare comprendono il Primary Account Number (PAN), ovvero il numero di 16 cifre che identifica la carta(2), il nome e cognome, la data di scadenza e un codice di servizio(3). I dati di autenticazione invece rappresentano i dati racchiusi nella striscia magnetica o nel chip, il codice di controllo, che tipicamente si trova sul lato posteriore e il codice PIN.

La versione 3.0 dello standard chiarisce alcuni requisiti presenti nella versione 2.0 e affronta le problematiche emerse dagli eventi del recente panorama delle minacce, come per esempio i furti di password. Infatti, pone enfasi sulla costruzione di soluzioni sicure facendo riferimento alle più diffuse linee guida del settore. La PCI DSS riguarda tutti i soggetti coinvolti nel trattamento dei dati di carta di credito compresi i commercianti, gli intermediari, gli istituti finanziari, i service provider e tutte le altre entità che memorizzano, elaborano o trasmettono i dati dei titolari e/o i dati sensibili di autenticazione.

Lawful Interception per gli Operatori di Tlc

Lo standard è diviso in sei sezioni e dodici requisiti che “si applicano a tutti i componenti di sistema inclusi o connessi all’ambiente dei dati dei titolari di carta” di credito.

…continua su EDICOLeA

 


 

Altri articoli di Antonio de Martino

IL MALWARE “REGIN”
di Antonio de Martino (n.II_MMXV)
La società Symantec ha scoperto un nuovo tipo di malware operante dal 2008 su Internet, che avrebbe preso ogni tipo di informazione ai governi, ai gestori telefonici e ai suoi utenti, alle imprese grandi e piccole e ai privati cittadini.
HEARTBLEED, IL BUG DEI COLLEGAMENTI SICURI SU INTERNET
di Antonio de Martino ( n.III_MMXIV )
Il bug Heartbleed è una grave vulnerabilità della popolare libreria OpenSSL utilizzata per crittografare i collegamenti su Internet. Questa debolezza permette di rubare le informazioni protette trasmesse da applicazioni quali browser, email, instant messaging e alcune reti private virtuali.
NUOVA EDIZIONE DELLO STANDARD ISO 27001 PER LA SICUREZZA DELLE INFORMAZIONI
di Antonio de Martino ( n.II_MMXIV )
Il 25 settembre 2013 è stata pubblicata la normativa ISO/IEC 27001:2013. Lo standard delinea i requisiti per l’implementazione e il miglioramento continuo del sistema di gestione della sicurezza delle informazioni nel contesto di un’organizzazione, indipendentemente dalla sua dimensione, tipologia o natura.
LA NUOVA SEZIONE “NAVIGAZIONE SICURA” NEL RAPPORTO DI TRASPARENZA DI GOOGLE
di Antonio de Martino ( n.III_MMXIII )
Nella nuova sezione ”Navigazione sicura” del Rapporto di Trasparenza (Transparency Report) pubblicato da Google sono elencati i siti web non sicuri, affinché utenti e webmaster possano evitarli così da non subire danni. Le informazioni si basano sugli avvisi rilevati da Google Chrome, Mozilla Firefox e Apple Safari, utilizzati ogni settimana da decine di milioni di utenti che tentano di visitare siti web che carpirebbero loro informazioni personali o installerebbero software ideati per assumere il controllo dei loro computer.
MICROSOFT SECURITY INTELLIGENCE REPORT: IL 24% DEI COMPUTER NON HA L’ANTIVIRUS
di Antonio de Martino ( n.II_MMXIII )
Microsoft Security Intelligence Report - Volume 14 - July through December, 2012. Microsoft ha pubblicato la versione aggiornata del suo rapporto sulla sicurezza, constatando che il 24 % dei PC è privo di antivirus, antimalware o di qualsiasi altra protezione contro i pericoli informatici provenienti dalla rete.

Show More

Related Articles

Back to top button