Unisciti a oltre 14.000 utenti di WP Simple Pay per accettare facilmente i pagamenti!  

Inizia

Vedi tutte le funzionalità

Blog WP Simple Pay

Tutorial, Suggerimenti e Risorse Stripe per WordPress per Accettare Pagamenti

Tutto quello che devi sapere sulla conformità PCI

Ultimo aggiornamento il

Written By: immagine autore Dennis
LinkedIn

Accettare pagamenti online comporta alcuni rischi. Ci saranno sempre truffatori che cercheranno di rubare informazioni di pagamento da reti insicure, motivo per cui la conformità PCI è più importante che mai.

Se accetti pagamenti tramite il tuo sito web, è importante che tu comprenda la conformità PCI e cosa significa per la tua attività. Se non la prendi sul serio, potresti esporre i tuoi clienti e la tua attività a rischi inutili.

Un rapporto sugli incidenti di violazione dei dati Verizon del 2017 ha rilevato che quell'anno ci sono stati quasi 42.068 incidenti di sicurezza dei dati. Non lasciare che la tua attività sia una di queste.

Probabilmente hai già sentito parlare della conformità PCI, ma potresti non sapere cos'è e perché è rilevante. In questo post, vogliamo spiegarti tutto.

Cos'è il PCI DSS?

PCI DSS sta per Payment Card Industry Data Security Standard. È un insieme di standard stabiliti dal PCI Security Standards Council (PCI SSC) su come le aziende elaborano i pagamenti con carta di credito.

Conformità PCI

Il PCI SSC è stato fondato dalle principali società di carte di credito: Visa, MasterCard, American Express, Discover e JCB. Originariamente, avevano tutti standard di sicurezza unici, ma si sono uniti nel 2006 per standardizzare tutto.

L'obiettivo dell'iniziativa è proteggere le informazioni sensibili dei consumatori, inclusi i numeri delle carte di credito. Questo è un bene per il consumatore perché riduce la possibilità che le aziende utilizzino impropriamente le loro informazioni personali o che hacker e truffatori le rubino. È anche un bene per l'industria dell'elaborazione dei pagamenti perché riduce la probabilità di chargeback e debiti non pagati.

Sebbene la conformità PCI non sia una legge, dovrai rispettare gli standard se vuoi lavorare con una di queste società (e praticamente devi farlo se vuoi elaborare carte di credito).

Cosa conta come informazione sensibile? Il numero di conto primario, il nome del titolare della carta, la data di scadenza, il codice di servizio, i dati della banda magnetica, il chip, CAV2, CVC2, CVV2, CID, PIN, blocchi PIN e qualsiasi altra cosa utilizzi per elaborare una transazione.

Conformità PCI

Il PCI DSS stabilisce 12 requisiti a cui devi attenerti per accettare, archiviare, elaborare e trasmettere in modo sicuro i dati del titolare della carta. Se non ne segui *anche uno solo*, non sei conforme. Ogni requisito affronta un componente importante della sicurezza delle informazioni.

Conformità PCI

  1. Installa e mantieni una configurazione firewall per proteggere i dati del titolare della carta.
  2. Non utilizzare le impostazioni predefinite fornite dal fornitore per le password di sistema e altri parametri di sicurezza.
  3. Proteggi i dati del titolare della carta archiviati.
  4. Crittografa la trasmissione dei dati del titolare della carta su reti aperte e pubbliche.
  5. Proteggi tutti i sistemi da malware e aggiorna regolarmente il software o i programmi antivirus.
  6. Sviluppa e mantieni sistemi e applicazioni sicuri.
  7. Limita l'accesso ai dati del titolare della carta in base alla necessità di conoscenza aziendale.
  8. Identifica e autentica l'accesso ai componenti di sistema.
  9. Limita l'accesso fisico ai dati del titolare della carta.
  10. Tieni traccia e monitora tutto l'accesso alle risorse di rete e ai dati del titolare della carta.
  11. Testa regolarmente i sistemi e i processi di sicurezza.
  12. Mantenere una politica che affronti la sicurezza delle informazioni per tutto il personale.

Se effettui qualsiasi tipo di transazione finanziaria, è tua responsabilità essere conforme allo standard PCI. Ciò include l'accettazione di carte di credito per telefono.

Inoltre, è tuo compito assicurarti che qualsiasi fornitore che ti fornisca software o servizi, o qualsiasi azienda o persona che assumi, sia anch'essa conforme allo standard PCI.

Ad esempio, se utilizzi Stripe per elaborare i pagamenti con carta di credito, potresti essere ritenuto responsabile se il loro servizio risulta non conforme. (Fortunatamente, non è un rischio importante con Stripe, motivo per cui li raccomandiamo.)

Ci si aspetta che tu sia conforme allo standard PCI indipendentemente dalle dimensioni della tua attività, anche se elabori solo una transazione all'anno. In caso contrario, potresti incorrere in gravi sanzioni.

Per le informazioni più aggiornate, è sempre meglio visitare il sito web del PCI SSC. I loro standard cambiano regolarmente e cambiano a seconda della tua attività, quindi vorrai tenerti aggiornato. Prenditi consapevole del contenuto della loro pagina Commercianti.

Livelli Commercianti PCI

Il tipo di sicurezza di cui hai bisogno dipende dal numero di pagamenti che elabori annualmente. Più transazioni elabori, più sei attraente per hacker e parti malintenzionate, quindi la conformità PCI è suddivisa in quattro livelli:

Livello 1 è per i commercianti che elaborano più di sei milioni di transazioni all'anno. Devono sottoporsi a scansioni di rete trimestrali da parte di un Approved Scanning Vendor e a un rapporto di conformità annuale da parte di un Qualified Security Assessor. Devono anche sottoporsi a test di penetrazione.

Livello 2 è per i commercianti che elaborano da uno a sei milioni di transazioni annuali. Devono sottoporsi a un Self-Assessment Questionnaire (SAQ) annuale, a una valutazione in loco condotta da un Qualified Security Assessor (QSA), a una scansione di rete trimestrale e a test di penetrazione.

Livello 3 è per le aziende che elaborano da 20.000 a un milione di transazioni annuali. Livello 4 è per le aziende che elaborano meno di 20.000 transazioni annuali. Entrambi sono tenuti a condurre un Self-Assessment Questionnaire annuale, una scansione di rete trimestrale e alcuni altri requisiti. La maggior parte delle aziende rientra nel livello quattro, la categoria più bassa.

In alcuni casi, il PCI SSC eleva determinati commercianti a ranghi superiori a seconda del tipo di attività (alcune comportano rischi maggiori di altre) o se hanno subito una violazione dei dati in passato.

Sanzioni per non conformità

Se non sei conforme agli standard PCI, corri il rischio di subire violazioni dei dati. Se una persona malintenzionata entra in possesso delle informazioni di pagamento dei tuoi clienti e crea addebiti fraudolenti, le società di carte di credito sono costrette a sostenere spese illegittime, quindi prendono la non conformità molto sul serio.

I marchi di pagamento (Visa, MasterCard, American Express, Discover e JCB) possono multare commercianti, banche o altri fornitori di elaborazione dei pagamenti per la non conformità a loro discrezione. Queste multe sono spesso comprese tra $ 5.000 e $ 10.000 al mese.

Potrebbe anche esserti richiesto di pagare i costi di sostituzione delle carte (quando gli utenti di carte di credito necessitano di cambiare i loro account o carte perché sono stati compromessi) e costosi audit forensi sulla tua attività.

Ancora peggio, potresti essere ritenuto civilmente responsabile per i danni monetari subiti dai tuoi clienti a causa di un'elaborazione negligente. Ciò significa che le persone possono citarti in giudizio per il denaro che perdono se la tua mancanza di conformità ha compromesso le loro informazioni personali.

Inoltre, i marchi di pagamento sono nel loro diritto di aumentare le loro commissioni per la tua attività. Se decidono che sei troppo rischioso, possono interrompere completamente i rapporti commerciali con te. I marchi di carte di credito non sono pubblici riguardo ai loro metodi per assegnare le commissioni, ma la loro giustizia può essere piuttosto dannosa per le piccole imprese. Ecco perché è così importante che tu capisca cosa significa essere conformi a PCI e se lo sei.

Gateway di pagamento

La maggior parte dei commercianti elabora le transazioni tramite gateway di pagamento. Probabilmente riconosci nomi come Stripe, PayPal, Authorize.net, ecc. I gateway sono piattaforme front-end che si connettono alle banche delle carte di credito.

Conformità PCI
Immagine da duecom

Ciò significa che non è necessario avere accordi individuali con le banche delle carte di credito. Quando lavori con un gateway, essi prendono gli input che fornisci loro (le informazioni di pagamento dei clienti) e instradano tali dati alla banca appropriata. Forniscono anche una serie di strumenti di rilevamento frodi che proteggono tutti.

Ecco una buona notizia: se utilizzi un gateway di pagamento, è molto probabile che tu sia già conforme a PCI perché il gateway garantisce che lo sia. Il loro intero modello di business si basa su un buon rapporto con i marchi di carte di credito, quindi non si assumono *alcun* rischio. Ad esempio, Stripe proibisce esplicitamente ad alcune attività di utilizzare la loro piattaforma perché tali attività comportano un rischio elevato.

Inoltre, l'utilizzo di un gateway ti consente di sfruttare la loro reputazione. Se, ad esempio, provassi a stipulare un accordo direttamente con Mastercard, sarebbe costoso perché Mastercard non avrebbe molte ragioni per fidarsi di te.

Ma se utilizzi un gateway come Stripe, non sei un cliente di Mastercard. Stripe è un cliente di Mastercard, e Mastercard si fida di Stripe perché hanno elaborato milioni di transazioni di successo insieme. Ciò significa che Stripe ottiene una tariffa migliore di quanto potresti mai ottenere tu.

L'utilizzo di un gateway di pagamento significa che puoi ignorare la conformità PCI? Assolutamente no.

Ci sono molti modi in cui potresti violare la conformità PCI che non hanno nulla a che fare con il gateway. Ad esempio, se scrivessi le informazioni della carta di credito dei tuoi clienti su un pezzo di carta e lo attaccassi al muro, violeresti gli standard PCI, ma non c'è modo che il gateway possa proteggerti.

Gli standard di conformità PCI cambiano

Purtroppo ladri di dati, hacker e parti malintenzionate sono creativi e sofisticati. Adattano i loro metodi alle nuove tecnologie di sicurezza con la stessa rapidità con cui possiamo proteggerci.

Quindi l'ultima cosa che devi sapere sulla conformità PCI è questa: gli standard cambiano continuamente. Ciò che è accettabile oggi potrebbe non esserlo domani. Se gestisci la tua elaborazione dei pagamenti, è fondamentale rimanere aggiornati sui cambiamenti in modo da non lasciarti vulnerabile.

Se utilizzi un processore di pagamento (come Stripe, PayPal, Authorize.net, ecc.), il processore ti manterrà conforme (se questa è una delle loro funzionalità), ma è comunque bene comprendere il panorama in evoluzione.

Divulgazione: I nostri contenuti sono supportati dai lettori. Ciò significa che se cliccate su alcuni dei nostri link, potremmo guadagnare una commissione. Raccomandiamo solo prodotti che crediamo aggiungeranno valore ai nostri lettori.

WP Simple Pay
Risparmia il 50%!

SOCIAL

Connettiamoci

Leggi di più

Post Popolari

Come Usare i Tag Intelligenti per Personalizzare le Email di Conferma Pagamento

Sbloccare la Personalizzazione: Come Consentire ai Clienti di Aggiungere Note ai Moduli di Pagamento in WordPress

Stripe Atlas Vale la Pena nel 2024 [Aggiornamento]

Potenzia le Tue Vendite: Come Abilitare Facilmente Acquisti Multi-Articolo in una Singola Transazione

Come Migliorare la Comunicazione con il Cliente con una Ricevuta Email Dettagliata

Come Creare un Modulo di Registrazione Eventi con Opzioni Multiple di Prezzo e Quantità

Inizia ad Accettare Pagamenti Oggi

Inizia ad accettare pagamenti una tantum e ricorrenti o donazioni sul tuo sito WordPress.

Ottieni WP Simple Pay Ora →