Come mantenere la conformità a PCI

Il PCI Security Standards Council stabilisce gli standard di sicurezza per proteggere i dati delle carte di credito noti come Payment Card Industry Data Security Standards (PCI-DSS o PCI in breve). Questo comporta che le organizzazioni che trasmettono, elaborano o archiviano le informazioni delle carte di credito siano conformi agli standard PCI.

Puoi utilizzare l’hosting per configurare la tua presenza online e il catalogo prodotti. Quindi puoi collaborare con un fornitore di terze parti per elaborare i pagamenti per tuo conto tenendo le carte di credito fuori dal tuo server, ad esempio PayPal Checkout, Square Online Checkout e Stripe Checkout). Assicurati di informarti riguardo ulteriori requisiti per necessari per far sì che la tua attività rispetti gli standard PCI.

Se preferisci accettare i pagamenti direttamente dal tuo sito, offriamo prodotti certificati PCI come l’Hosting eCommerce WordPress gestito, il negozio online e gli appuntamenti online. La conformità agli standard PCI è un impegno comune. Quindi, quando utilizzi una delle nostri soluzioni certificate PCI, progettiamo le nostre procedure e i nostri sistemi per proteggere le informazioni delle carte di credito dei tuoi clienti e abbiamo bisogno di te per proteggere il tuo account.

Negozio online e appuntamenti online

I pagamenti effettuati tramite il negozio online e gli appuntamenti online sono integrati con servizi di terze parti che elaborano le informazioni delle carte di credito nei loro ambienti protetti. Tali prodotti utilizzano una piccola quantità di codice sul tuo sito web per consentire ai clienti di immettere le informazioni della carta di credito direttamente sul sito. In questo modo potrai rispettare gli standard PCI effettuando alcuni piccoli passaggi per proteggere il tuo account:

  • Gestione degli utenti
    • Assegna sempre agli utenti un ID unico e usa password complesse.
    • Non utilizzare password o ID generici, condivisi o di gruppo.
    • Rimuovi gli utenti quando non devono più accedere.
  • Dati cartacei (non digitali)
    • Se raccogli le informazioni delle carte di credito in forma cartacea, assicurati di controllarne l’accesso e di distruggerle quando non servono più.
  • Conformità del service provider
    • Se utilizzi dei servizi per gestire i dati cartacei o il tuo account, assicurati che il service provider sia a conoscenza delle proprie responsabilità riguardo la gestione sicura dei dati delle carte di credito e che stia adempiendo ai propri obblighi.
  • Piano di risposta agli incidenti
    • Assicurati di avere a disposizione un elenco di persone da contattare e le modalità per gestire le comunicazioni con i clienti nel caso di violazione dei dati.
  • Invia il questionario A sull’autovalutazione PCI (PCI SAQ-A) tramite il responsabile del trattamento dei dati (Stripe, Square o PayPal).

Nota: se accetti i pagamenti tramite telefono, potrebbero essere necessari ulteriori requisiti per proteggere i sistemi telefonici e i computer utilizzati dagli agenti del call center.

WordPress gestito con WooCommerce

I pagamenti effettuati mediante WordPress gestito possono essere implementati tramite il plugin WooCommerce, che si integra con terze parti per elaborare le carte di credito in ambienti protetti. Viene utilizzata una piccola quantità di codice sul tuo sito web per consentire ai clienti di immettere le informazioni della carta di credito direttamente sul sito. Poiché hai tu il controllo dei plug-in installati nel tuo account, ecco alcune istruzioni aggiuntive per rispettare gli standard PCI:

  • Implementazione dei pagamenti
    • Per i pagamenti installa esclusivamente il plug-in. Sebbene siano disponibili altri plug-in di pagamento, noi certifichiamo solo WooCommerce.
    • Non aggiungere funzionalità o codice che gestiranno le informazioni delle carte di credito. Non possiamo certificare i processi di pagamento personalizzati aggiunti al server.
    • Aggiorna sempre i plug-in (aggiornamenti processo entro 30 giorni).
  • Gestione degli utenti
    • Assegna sempre agli utenti un ID unico e usa password complesse.
    • Non utilizzare password o ID generici, condivisi o di gruppo.
    • Rimuovi gli utenti quando non devono più accedere.
  • Dati cartacei (non digitali)
    • Se raccogli le informazioni delle carte di credito in forma cartacea, assicurati di controllarne l’accesso e di distruggerle quando non servono più.
  • Conformità del service provider
    • Se utilizzi dei servizi per gestire i dati cartacei o il tuo account, assicurati che il service provider sia a conoscenza delle proprie responsabilità riguardo la gestione sicura dei dati delle carte di credito e che stia adempiendo ai propri obblighi.
  • Piano di risposta agli incidenti
    • Assicurati di avere a disposizione un elenco di persone da contattare e le modalità per gestire le comunicazioni con i clienti nel caso di violazione dei dati.
  • Invia il questionario A sull’autovalutazione PCI (PCI SAQ-A) tramite il responsabile del trattamento dei dati (pagamenti WooCommerce, Stripe, PayPal, Square, Klarna o PayFast).

Nota: se accetti i pagamenti tramite telefono, potrebbero essere necessari ulteriori requisiti per proteggere i sistemi telefonici e i computer utilizzati dagli agenti del call center.

Per eventuali domande, collabora con la tua banca o contatta un Qualified Security Assessor (QSA).

Altre informazioni


Questo articolo è stato di aiuto?
Grazie per il tuo feedback. Per parlare con un addetto dell’assistenza clienti, usa il numero di telefono o l’opzione chat qui sopra.
Felici di esserti stati di aiuto! C'è altro che possiamo fare per te?
Ci dispiace. Dicci che cosa hai trovato di poco chiaro o perché la soluzione non ha risolto il problema.