motivo esagonale viola
Disposizione globale

Standard di protezione dei dati del settore delle carte di pagamento (Payment Card Industry Data Security Standard, PCI DSS)

Entrust può aiutare a semplificare la conformità PCI DSS e il lavoro di controllo

Requisiti PCI DSS

Qualsiasi organizzazione che svolge un ruolo nell'elaborazione dei pagamenti con carta di credito e debito deve rispettare i severi requisiti di conformità PCI DSS per il trattamento, l'archiviazione e la trasmissione dei dati dell'account.

Gli HSM nShield Entrust™ possono aiutare le organizzazioni che lavorano con i dati dei titolari di carte a rispettare diversi aspetti del controllo e della conformità a PCI DSS, inclusi:

icona del segno di spunta color prugna

Requisito 3

Proteggi i dati dei titolari di carte memorizzati.

Sfondo esagonale grigio sbiadito
icona del segno di spunta color prugna

Requisito 7

Limitare l'accesso ai dati dei titolari di carte in base alle esigenze aziendali.

Sfondo esagonale grigio sbiadito
icona del segno di spunta color prugna

Requisito 8

Identifica e autentica l'accesso ai componenti di sistema

Sfondo esagonale grigio sbiadito

Regolamento

Oltre 200 test contro sei principi fondamentali

Lo standard PCI DSS implica la valutazione rispetto a oltre 200 test che rientrano in 12 aree di sicurezza generale che rappresentano sei principi fondamentali. Questi test PCI DSS abbracciano un'ampia varietà di pratiche di sicurezza comuni insieme a tecnologie come crittografia, gestione delle chiavi e altre tecniche di protezione dei dati.

Rischi associati alla verifica e alla conformità PCI DSS

  • Il mancato rispetto dei requisiti di conformità PCI DSS può comportare multe, maggiori commissioni o persino la cessazione della capacità di elaborare le transazioni con carte di pagamento.
  • La conformità allo standard PCI DSS non può essere considerata in modo isolato; le organizzazioni sono soggette a molteplici disposizioni di sicurezza e a leggi o regolamenti sulla divulgazione di violazioni dei dati. D'altra parte, i progetti di conformità PCI possono essere facilmente aggirati da iniziative di sicurezza aziendale più ampie.
  • Le linee guida e le raccomandazioni legate ai requisiti PCI DSS includono pratiche comuni che probabilmente saranno già in atto. Tuttavia, alcuni aspetti, in particolare quelli associati alla crittografia, potrebbero essere nuovi per l'organizzazione e le implementazioni possono essere dirompenti, con un impatto negativo sull'efficienza operativa se non progettate correttamente.
  • Esistono opportunità per ridurre l'ambito degli obblighi di conformità PCI DSS e quindi ridurre i costi e l'impatto; tuttavia, le organizzazioni possono sprecare tempo e denaro se non prestano attenzione a garantire che i nuovi sistemi e processi vengano effettivamente accettati come conformi allo standard PCI DSS.

Conformità

Affrontare i requisiti chiave di PCI DSS

Attingendo a decenni di esperienza nell'aiutare banche e istituti finanziari a rispettare le disposizioni del settore, Entrust e i suoi partner offrono prodotti e servizi che consentono di proteggere i dati dei titolari di carte memorizzati, crittografarli per il trasferimento e limitare l'accesso in base alle necessità.

  • Proteggi i dati dei titolari di carte. Entrust collabora con le principali soluzioni di accettazione dei pagamenti da dispositivi mobili (mPOS) e con le principali soluzioni di protezione dei dati dei pagamenti per proteggere i dati dei titolari di carte e contribuire a garantire la conformità PCI DSS. Anche le organizzazioni commerciali devono implementare crittografia di rete e Crittografia SSL/TLS per proteggere i dati in transito.
  • Implementare forti misure di controllo degli accessi. Tutte le tecniche di protezione dei dati vanno di pari passo con i controlli di accesso. Tecnologie crittografiche come PKI e certificati digitali sono ampiamente utilizzate per andare oltre la sicurezza a livello di password per l'autenticazione di utenti e sistemi. Inoltre, l'utilizzo di Entrust nShield HSM per controllare l'accesso alle chiavi di decrittografia dei dati significa che i dati possono essere decrittografati solo in base alla "necessità di sapere".
  • Crea e mantieni una rete sicura. Oltre alla crittografia a livello di rete, una componente essenziale della sicurezza di rete è la forte autenticazione dei dispositivi di rete; credenziali digitali sono sempre più impiegate a livello di dispositivo per controllare l'accesso alla rete e rappresentano un'importante considerazione di sicurezza per una PKI aziendale.
  • Mantieni un programma di gestione delle vulnerabilità. L'aumento di attacchi persistenti avanzati che tentano di corrompere le applicazioni aziendali iniettando malware ha portato all'uso di firme digitali e firma del codice in primo piano come un modo per dimostrare l'integrità e l'autenticità dei sistemi aziendali e del software applicativo.
  • Mantieni una politica di sicurezza delle informazioni. PCI DSS pone grande enfasi sulla definizione di una chiara separazione dei compiti tra i membri del personale per ridurre al minimo il rischio di attacchi interni. L'uso della crittografia fornisce un potente meccanismo per imporre questa separazione e per creare un record attendibile degli eventi per dimostrare la conformità.

Risorse

Brochure: Brochure della famiglia di HSM nShield Entrust

Gli HSM nShield Entrust forniscono un ambiente temprato a prova di manomissione per eseguire attività sicure di elaborazione crittografica, generazione e protezione delle chiavi, crittografia e molto altro. Gli HSM nShield Entrust sono disponibili in tre fattori di forma con certificazione FIPS 140-2 e supportano diversi scenari di distribuzione.

Brochure della famiglia di HSM nShield Entrust

Soluzioni correlate

GDPR

Interessa qualsiasi organizzazione che elabora i dati personali dei cittadini dell'UE

Normativa GLBA

Gramm Leach Bliley Act o Financial Services Modernization Act

Normativa PSD2

Mantieni i dati sensibili al sicuro nell'ambiente PSD2