I pagamenti digitali sono sempre più diffusi e sempre meno sicuri. Purtroppo, in materia di sicurezza e di privacy, si potrebbe dire che due sistemi di pagamento su tre non sono a norma.

Infatti, l’aderenza ai principi del Payment Card Industry Data Security Standard (PCI DSS), lanciato da VISA nel 2004, negli ultimi due anni è decisamente calata tra le aziende: si è passati dal 52,5% del 2017 al 36,7% del 2018.

Sulla questione è stato condotto lo studio “Payment Security Report 2019”, basato su più di trecento verifiche, sugli standard di sicurezza dei dati di pagamenti, in aziende di sessanta Paesi (tra cui anche grandi multinazionali e società inserite nella lista Fortune 500).

Dallo studio è emerso un nesso fra la mancata compliance e i rischi di attacco informatico.

In altre parole, se un programma di conformità agli standard di sicurezza è privo di adeguati controlli sulla protezione dei dati, raddoppia la possibilità (+95%) che tale programma non sia sostenibile e che il sistema di pagamento si trasformi in un bersaglio di attacco.

Tutti gli operatori che archiviano, elaborano o trasmettono dati di carte di credito, se non vogliono essere soggetti a multe e pene severe, devono conformarsi alle misure standard, atte a garantire la protezione dei dati, e ai processi di sicurezza coerenti per tutte le transazioni finanziarie online (PCI DSS).

Gli obblighi di compliance allo standard PCI DSS includono:

• sviluppo e mantenimento di una politica di sicurezza che copra tutti gli aspetti aziendali;
• installazione di firewall per la protezione dei dati;
• codifica dei dati delle carte di credito trasmessi attraverso le reti pubbliche;
• utilizzo e regolare aggiornamento di software antivirus;
• impostazione di password sicure e altri protocolli di cyber sicurezza;
• implementazione di rigidi controlli di accesso e monitoraggio dell’accesso ai dati dell’account.

Per i commercianti che gestiscono grossi volumi di transazioni finanziarie online, la compliance allo standard PCI DSS viene verificata durante visite di controllo annuali, eseguite da un Qualified Security Assessor (QSA) indipendente.