Di Maurício Okuyama, responsabile pre-vendita di Kryptus
PCI (dall'inglese, Payment Card Industry) o PCI SSC (Consiglio sugli standard di sicurezza PCI) è un'organizzazione globale che riunisce gli stakeholder del settore dei pagamenti con l'obiettivo di sviluppare e promuovere l'adozione di standard elevati e di capacità di sicurezza informatica per il settore dei pagamenti. Per garantire che tale adozione avvenga in modo coerente, PCI mantiene una base di standard e requisiti, tra cui Sicurezza PIN PCI, che vengono rivisti e aggiornati periodicamente e coprono i segmenti più diversi del settore: fornitori di servizi di pagamento, fornitori di soluzioni software, fornitori di soluzioni hardware, ecc.
Ad esempio, tutte le aziende che in qualche modo operano all'interno della catena di fornitura di servizi o risorse tecnologiche per i pagamenti tramite carta con i "marchi classici" (American Express, Discover, Mastercard, Visa) seguono uno specifico standard PCI. Esistono requisiti per l'azienda che elabora i pagamenti tramite il "macchina per carte", per il data center o l'azienda che ospita software o API di pagamento, e persino per l'azienda che produce l'hardware crittografico utilizzato nel settore.
Perché PCI è importante?
I marchi di carte hanno requisiti tecnici e operativi specifici, che devono essere soddisfatti dalle entità che forniscono prodotti e servizi al settore dei pagamenti. Per alcuni aspetti, legati alla sicurezza o ad altri ambiti, i requisiti di un marchio differiscono da quelli di un altro. Pertanto, un fornitore di prodotti e/o servizi che desideri coprire tutti i marchi del proprio portafoglio necessita di un insieme chiaro di requisiti che, se adeguatamente soddisfatti, gli consentiranno di coprire sia i punti comuni che le specificità di ciascun marchio di carte.
Considerando le esigenze, gli interessi e i requisiti dei marchi, il PCI funge da intermediario tra questi e gli altri stakeholder del settore dei pagamenti, stabilendo una base comune di standard a cui i fornitori di prodotti e servizi del settore devono attenersi. Pertanto, riunendo i più diversi stakeholder rilevanti per il settore dei pagamenti e mantenendo e sviluppando gli standard di sicurezza, il PCI contribuisce allo sviluppo sostenibile e globale del settore.
Alla fine, Chi ne trae vantaggio sono i consumatori e la società, che finiscono per beneficiare di un sistema di pagamento universale, affidabile e, grazie all'evoluzione tecnologica legata alle esigenze di sicurezza, sempre più conveniente.
Quali sono i vantaggi degli standard PCI per il mercato dei pagamenti e per l'utente finale?
PCI fornisce una base comune per gli standard e i requisiti di sicurezza che devono essere rispettati dai più diversi attori del settore dei pagamenti. Senza questa base unificata, probabilmente non potremmo beneficiare della facilità di effettuare pagamenti con le nostre carte praticamente ovunque nel mondo o su qualsiasi sito web di shopping. Pertanto, l'attività PCI è essenziale per il mercato e per l'utente finale, che beneficia di un sistema di pagamento universale, affidabile e, grazie agli sviluppi tecnologici legati ai requisiti di sicurezza, sempre più conveniente.
Informazioni sulla sicurezza dei pin PCI
O Sicurezza PIN PCI è uno degli standard PCI e deve essere adottato da tutte le aziende che gestiscono, elaborano e trasmettono i dati del numero di identificazione personale (PIN) durante l'elaborazione delle transazioni con carta di pagamento online e offline presso sportelli bancomat e terminali PoS (point-of-sale).
I requisiti stabiliti dallo standard PCI PIN Security stabiliscono che tutti i PIN inseriti dal titolare della carta devono essere elaborati su apparecchiature conformi ai requisiti per i dispositivi crittografici sicuri (SCD), come HSM (Modulo di sicurezza hardware)I PIN non dovrebbero mai essere esposti "in chiaro" al di fuori di un modulo crittografico.
Certificazione FIPS 140-2 e PCI
La Pubblicazione 140-2 del Federal Information Processing Standard (FIPS) è uno standard che definisce i requisiti minimi di sicurezza per i moduli di sicurezza crittografica. Ottenere la certificazione FIPS 140-2 significa che la vostra apparecchiatura è stata convalidata dal National Institute of Standards and Technology (NIST) degli Stati Uniti e dal Canadian Center for Cyber Security (CCCS). In breve, lo standard garantisce che un prodotto utilizzi solide pratiche di sicurezza, come metodi di protezione fisica e logica, nonché meccanismi crittografici che abbiano superato uno dei quattro livelli di sicurezza FIPS 140-2.
Affinché un istituto finanziario sia conforme alle norme del Sicurezza PIN PCI e garantire la certificazione, è necessario che gli HSM (Hardware Security Module), ovvero i moduli di sicurezza crittografica, utilizzati per memorizzare le chiavi crittografiche nelle transazioni di pagamento, soddisfino i requisiti richiesti dalla certificazione FIPS 140-2 di livello 3. Due esempi di aziende che hanno acquisito la certificazione PCI PIN Security con l'implementazione di HSM Kryptus, certificati FIPS 140-2 di livello 3, sono: Vicino a SA e Gruppo setteEntrambi dovevano essere conformi allo standard PCI e garantire la solidità dell'infrastruttura di sicurezza dietro le transazioni finanziarie.
Di: Igor Jardim All'inizio degli anni 2000, il concetto di virtualizzazione ha iniziato ad emergere Per saperne di più
Di: Giulia Losnak Le aziende Uunio, innovativa fintech per i sistemi di pagamento, e Kryptus, leader brasiliana nel settore Per saperne di più