di Antonio de Martino
Il 7 Novembre 2013, è stata pubblicata la versione 3.0 dello standard “Payment Card Industry Data Security Standard”, meglio conosciuto come PCI-DSS. Si tratta di una raccolta di requisiti e raccomandazioni, che è stata sviluppata dal Payment Card Industry Security Standard Council (PCI SSC), che definisce le misure di protezione dei processi di gestione e trattamento dei dati provenienti dai pagamenti effettuati attraverso carta di credito. Ad oggi, il PCI SSC conta 670 organizzazioni partecipanti tra cui Luxottica, Paypal, Vodafone, Ingenico, Hertz, Dell, Cytrix e British Airways.
Negli ultimi anni, grazie all’incremento del volume degli acquisti online, è aumentato il numero di attacchi informatici con l’obiettivo di rubare i dati di carte di credito che ormai rappresentano uno dei principali strumenti di pagamento elettronico. Per affrontare questo problema, i maggiori circuiti internazionali di pagamento hanno avviato da diversi anni i propri programmi di sicurezza.
Di fatto, già nel 2001, VISA parte con il Cardholder Information Security Program (CISP), MasterCard avvia il suo Site Data Program (SDP) e nel 2002 American Express implementa per la prima volta il Data Security Operating Policy (DSOP). A dicembre del 2004 è stata pubblicata la versione 1.0 della PCI DSS, gestita da VISA e MasterCard e infine, nel settembre 2006, VISA, MasterCard, American Express, Discover e JCB hanno fondato il Payment Card Industry Security Standard Council pubblicando la versione 1.1 della norma.
Il PCI SSC ha come obiettivi lo sviluppo, l’aggiornamento, la pubblicazione e la diffusione dello standard PCI DSS che in particolare stabilisce i requisiti di sicurezza, nell’ambito dei sistemi di pagamento, laddove siano trasmessi, memorizzati o trattati i dati relativi a carte di credito e di debito(1). I dati di carte di credito possono essere classificati in dati del titolare della carta e dati sensibili di autenticazione.
I dati del titolare comprendono il Primary Account Number (PAN), ovvero il numero di 16 cifre che identifica la carta(2), il nome e cognome, la data di scadenza e un codice di servizio(3). I dati di autenticazione invece rappresentano i dati racchiusi nella striscia magnetica o nel chip, il codice di controllo, che tipicamente si trova sul lato posteriore e il codice PIN.
La versione 3.0 dello standard chiarisce alcuni requisiti presenti nella versione 2.0 e affronta le problematiche emerse dagli eventi del recente panorama delle minacce, come per esempio i furti di password. Infatti, pone enfasi sulla costruzione di soluzioni sicure facendo riferimento alle più diffuse linee guida del settore. La PCI DSS riguarda tutti i soggetti coinvolti nel trattamento dei dati di carta di credito compresi i commercianti, gli intermediari, gli istituti finanziari, i service provider e tutte le altre entità che memorizzano, elaborano o trasmettono i dati dei titolari e/o i dati sensibili di autenticazione.
Lo standard è diviso in sei sezioni e dodici requisiti che “si applicano a tutti i componenti di sistema inclusi o connessi all’ambiente dei dati dei titolari di carta” di credito.
…continua su EDICOLeA
Altri articoli di Antonio de Martino
IL MALWARE “REGIN” - di Antonio de Martino (n.II_MMXV)
La società Symantec ha scoperto un nuovo tipo di malware operante dal 2008 su Internet, che avrebbe preso ogni tipo di informazione ai governi, ai gestori telefonici e ai suoi utenti, alle imprese grandi e piccole e ai privati cittadini.
HEARTBLEED, IL BUG DEI COLLEGAMENTI SICURI SU INTERNET - di Antonio de Martino ( n.III_MMXIV )
Il bug Heartbleed è una grave vulnerabilità della popolare libreria OpenSSL utilizzata per crittografare i collegamenti su Internet. Questa debolezza permette di rubare le informazioni protette trasmesse da applicazioni quali browser, email, instant messaging e alcune reti private virtuali.
NUOVA EDIZIONE DELLO STANDARD ISO 27001 PER LA SICUREZZA DELLE INFORMAZIONI - di Antonio de Martino ( n.II_MMXIV )
Il 25 settembre 2013 è stata pubblicata la normativa ISO/IEC 27001:2013. Lo standard delinea i requisiti per l’implementazione e il miglioramento continuo del sistema di gestione della sicurezza delle informazioni nel contesto di un’organizzazione, indipendentemente dalla sua dimensione, tipologia o natura.
La nuova sezione “navivazione sicura” nel rapporto di trasparenza di Google - di Antonio de Martino ( n.III_MMXIII )
Nella nuova sezione ”Navigazione sicura” del Rapporto di Trasparenza (Transparency Report) pubblicato da Google sono elencati i siti web non sicuri, affinché utenti e webmaster possano evitarli così da non subire danni. Le informazioni si basano sugli avvisi rilevati da Google Chrome, Mozilla Firefox e Apple Safari, utilizzati ogni settimana da decine di milioni di utenti che tentano di visitare siti web che carpirebbero loro informazioni personali o installerebbero software ideati per assumere il controllo dei loro computer.
MICROSOFT SECURITY INTELLIGENCE REPORT: IL 24% DEI COMPUTER NON HA L’ANTIVIRUS - di Antonio de Martino ( n.II_MMXIII )
Microsoft Security Intelligence Report - Volume 14 - July through December, 2012. Microsoft ha pubblicato la versione aggiornata del suo rapporto sulla sicurezza, constatando che il 24 % dei PC è privo di antivirus, antimalware o di qualsiasi altra protezione contro i pericoli informatici provenienti dalla rete.
