ICT Consulting

PCI DSS

in

La ProMAE offre agli operatori commerciali del settore alberghiero un insieme di servizi e consulenze a “pacchetto” con l'obiettivo di porre il Cliente nella condizione di operare in conformità alla normativa PCI DSS.

Che cos'è il PCI DSS

La nostra offerta

offerta PCI DSS ProMAE


Che cos'è il PCI DSS.


Con PCI-DSS (Payment Card Industry - Data Security Standard ) si intende una serie di norme definite dal consorzio a cui aderiscono le principali società internazionali che gestiscono carte di credito/debito.

Fin dal 2007, anno in cui è stata emanata la norma, tutti gli operatori che utilizzano il pagamento con carta di credito e che memorizzano sul proprio sistema informativo i dati identificativi delle carte stesse, hanno la necessità di strutturare il proprio sistema informativo secondo i criteri generali definiti dalla normativa.

Infatti in caso di non conformità con la norma, una violazione accidentale o causata da furto del proprio sistema informativo, e quindi la perdita o il furto dei dati sensibili della carta di credito, può provocare una sanzione fino a 500,000 Dollari alle Banche che curano il credito/debito delle carte dell’operatore commerciale che ha subito il furto; queste a loro volta si possono rivalere sia civilmente che penalmente contro l’operatore commerciale stesso.
Inoltre sono anche possibili azioni legali da parte dei possessori delle carte di cui si è verificato il furto.

Gli operatori commerciali e i fornitori di servizi che sono tenuti a conformarsi agli standard PCI DSS sono classificati secondo il numero di operazioni con carte di credito/debito che eseguono durante un periodo di 12 mesi.

Poichè le strutture alberghiere a cui ci rivolgiamo appartengono alla categoria di esercizi commerciali che non raggiungono i sei milioni di transazioni via carta di credito, la normativa PCI DSS prevede due operazioni:

  • L’autocertificazione della propria struttura di sicurezza informatica mediante la predisposizione di un questionario strutturato
  • Il test della propria struttura di sicurezza informatica effettuata da una società abilitata dall’ente PCI DSS con cadenza trimestrale

A seconda del numero delle transazioni annuali e dello strumento di pagamento utilizzato il questionario strutturato di autocertificazione (denominato SAQ, ovvero Self-Assessment Questionnaire) è progressivamente più impegnativo.

L’attuale versione della normativa al momento prevede 5 diversi tipi di questionari: SAQ A,B,C,C VT,D, ovvero partendo dalla decina di domande del SAQ A si passa alle più di cento domande del SAQ D.

Torna su

offerta PCI DSS ProMAE


La nostra offerta


Il processo di verifica prevede l’accertamento in autocertificazione della conformità dell’ottemperanza alle normative PCI DSS e comprende alcune attività e test che devono essere effettuate continuativamente nell’arco del tempo.
La ProMAE propone un supporto mirato a perseguire lo scopo prefisso per due anni circa dalla sottoscrizione dello stesso.

Torna su


Supporto al processo di adeguamento


Il primo passo consiste nell’analisi della caratteristiche del sistema informativo del cliente con particolare enfasi per i punti di accesso del sistema, i criteri e i metodi utilizzati per la gestione della sicurezza informatica.
Con queste informazioni è possibile rispondere alle domande del questionario di autocertificazione che consentono di chiarire in modo efficace eventuali punti di debolezza del sistema informativo.
Quindi nel caso in cui le risposte al questionario diano sufficienti garanzie si procede alla prova sul campo del “Vulnerability Assessment SCAN”, ovvero un test di prova di accesso al sistema da computer remoto che simula i tentativi di effrazione del sistema informativo di potenziali “Hacker”. Il superamento positivo del test è “condizione necessaria” per essere considerati “conformi” alla normativa PCI DSS.
Se una struttura non passa il test, ovvero lo SCAN evidenzia delle vulnerabilità, è necessario ripetere lo SCAN, ovviamente dopo avere provveduto e risolvere eventuali debolezze del sistema.
Una volta che il test di SCAN viene passato positivamente, per la normativa PCI DSS è “condizione sufficiente” alla conformità la ripetizione CON ESITO POSITIVO su base trimestrale dello SCAN.

Torna su


Strumenti


La ProMAE offre agli operatori commerciali del settore alberghiero un insieme di servizi e consulenze in modo da dare l’opportunità di tarare il costo e le tempistiche del percorso verso la conformità alla normativa PCI DSS.
Gli step del lavoro sono:

  • analisi qualitativa della struttura di sicurezza software del committente. L’obiettivo dell’attività è quello di identificare la struttura generale del sistema informatico del committente con particolare attenzione nell’identificazione dei punti di accesso alla rete, dei dispositivi e delle procedure utilizzate per la protezione dei dati.
  • Consulenza per supporto all’autocertificazione (Per gli operatori commerciali il cui sistema informativo richiede l’utilizzo dei questionari SAQ A, B, C e C VT).
    L’attività prevede due giornate di consulenza. Assieme al personale specializzato ProMAE, il committente definisce una giornata in cui verrà eseguito in seduta congiunta il questionario di autocertificazione previsto dalla normativa.
    Alla fine della seduta la ProMAE identificherà assieme al committente ed i suoi referenti tecnici una serie di criticità e le azioni raccomandate per potere quindi passare il test di Vulnerabilità.
  • Compilazione congiunta del questionario di autocertificazione.

Torna su

offerta PCI DSS ProMAE


Formazione


La Promae Srl propone ai propri Clienti un approfondito ed articolato percorso di formazione finalizzata a:

  • Costruire e mantenere una “rete” sicura
  • Proteggere i dati dei Titolari di carte di credito
  • Adottare e mantenere un sistema strutturato di rilevazione e gestione delle vulnerabilità informatiche
  • Implementare procedure di controllo per l’accesso ai dati
  • Restringere l’accesso ai dati al personale autorizzato formalmente alla sua gestione
  • Monitorare e testare regolarmente i Network
  • Mantenere una politica di informazione sulla sicurezza

Torna su


Servizi extra


A discrezione del cliente ed in base alle raccomandazioni delle attività della consulenza per supporto all’autocertificazione la ProMAE Srl mette a disposizione le seguenti figure professionali:

  • Consulente Data Security Senior: figura tecnica con almeno 15 anni di esperienza nel settore
  • Tecnico di rete
  • Analista Senior: figura tecnica con almeno 15 anni di esperienza nel settore
  • Analista Junior
  • Programmatore

Utilizzando in modo appropriato le risorse delineate, La ProMAE Srl può erogare a richiesta consulenza per le seguenti attività:

  • Analisi AS-IS e TO-BE dell’architettura del sistema software del cliente
  • Analisi di What-if dell’architettura del sistema software del cliente
  • Fault-Tree Analysis dell’architettura del sistema software del cliente
  • Supporto all’acquisto ed alla installazione di dispositivi HW e SW di protezione dei dati
  • Sviluppo software

Torna su