I pagamenti tramite carta di credito stanno diventando sempre più frequenti. Tuttavia, questa realtà richiede un rafforzamento delle misure di sicurezza per quanto concerne i dati e le transazioni delle carte di credito per poter incrementare la fiducia dei clienti verso questo metodo di pagamento. Gli esperti di sicurezza delle società di carte di credito si sono quindi riuniti per sviluppare una soluzione comune. Si è pertanto stabilito che qualsiasi azienda che elabori, trasmetta o archivi i dati delle carte di credito debba seguire una serie di linee guida per garantire la sicurezza dei dati. L'obiettivo è di fare in modo che tutti i commercianti che accettano carte di credito di queste società si adeguino allo standard Payment Card Industry – Data Security Standard (PCI), precedentemente noto come Cardholder Information Security Program (CISP).

La versione corrente dello standard è stata sviluppata solo di recente. VISA lanciò il programma Cardholder Information Security Program (CISP) nel 2001. Si trattava del primo programma del genere e imponeva a commercianti e fornitori di servizi di seguire una serie di standard specifici per la sicurezza dei dati. Alcuni anni dopo, VISA, MasterCard, American Express, Discover, Diners Club e JCB allinearono le proprie politiche aziendali e introdussero il Payment Card Industry Data Security Standard (PCI-DSS), una versione aggiornata e più completa dello standard, che divenne obbligatorio per tutti i commercianti e i fornitori di servizi nel giugno 2005. Aggiornato di nuovo nel settembre 2006, lo standard attualmente include circa 160 requisiti, che sono diventati vincolanti dalla fine di giugno del 2007. L'accordo non è più una "tigre di carta". Solo nel 2006, VISA ha richiesto risarcimenti per un totale di 4,6 milioni di dollari ai commercianti che non si sono conformati agli standard. Si tratta di un incremento del 35% rispetto all'anno precedente.

L'attuale standard PCI include norme severe per l'elaborazione e l'archiviazione dei dati relativi alle carte di credito. I commercianti devono applicare tali norme per poter conservare il proprio stato di partner delle società di carte di credito ed evitare ingenti sanzioni. È possibile che la tua banca ti abbia contattato negli ultimi mesi per sottoporti informazioni relative allo standard PCI e alla sua importanza per prevenire le frodi legate alle carte di credito.

All'inizio dell'anno, le organizzazioni VISA e MasterCard hanno stabilito degli standard comuni allo scopo di riuscire a definire una procedura uniforme per l'applicazione dei requisiti di sicurezza. Tali standard sono validi per tutto il settore dei pagamenti tramite carta di credito.

Le normative PCI stabiliscono 12 requisiti di conformità che devono essere garantiti da tutti i commercianti e fornitori di servizi che accettano carte di credito VISA:

Realizzare e garantire una rete sicura
1. Installare e garantire una configurazione del firewall per proteggere i dati dei titolari di carte di credito.
2. Non utilizzare i valori predefiniti ottenuti dai fornitori per le password di sistema e altri parametri di sicurezza.

Proteggere i dati relativi ai titolari delle carte di credito
3. Proteggere i dati archiviati relativi ai titolari di carte di credito. Non archiviare dati superflui sulla carta o sulla transazione, come il numero completo della carta, i dati della banda magnetica, il codice di verifica della carta (CVV2) o il PIN.
4. Crittografare i dati relativi ai titolari della carta e altre informazioni riservate durante la trasmissione su reti aperte e pubbliche.

Introdurre un programma di gestione delle vulnerabilità
5. Utilizzare e aggiornare regolarmente software anti-virus.
6. Sviluppare e gestire sistemi e applicazioni di sicurezza.

Implementare solide misure di controllo degli accessi
7. Concedere l'accesso ai dati relativi ai titolari delle carte di credito solo alle persone autorizzate.
8. Assegnare un ID univoco a ogni persona che sia autorizzata all'accesso tramite computer.
9. Limitare l'accessibilità fisica dei dati relativi ai titolari delle carte di credito.

Monitorare e testare regolarmente le reti
10. Monitorare tutti gli accessi alle risorse di rete e ai dati relativi ai titolari delle carte di credito.
11. Testare regolarmente i sistemi e i processi di sicurezza.

Implementare una politica di sicurezza delle informazioni
12. Implementare una politica che garantisca la sicurezza delle informazioni.

Spiegazioni dettagliate dei 12 requisiti sono disponibili qui.

Uno degli elementi più importanti nel programma di sicurezza dei dati PCI basato su 12 punti è costituito dal divieto di archiviare il numero completo della carta di credito e i dati CVV in qualsiasi forma dopo l'avvenuta autorizzazione. Questo è un aspetto fondamentale poiché la divulgazione di questi dati riservati può consentire la contraffazione delle carte di credito.

Se in seguito a un controllo dovesse emergere che un commerciante archivia i dati della carta di credito nel POS (registro di cassa), nel sistema PMS (Front Office) o negli uffici dell'azienda, è probabile che VISA addebiti una sanzione alla banca, la quale trasferirà tale sanzione al commerciante per violazione delle norme. VISA è a conoscenza del fatto che alcuni prodotti POS e PMS archivino comunque i dati delle carte di credito.

Questa situazione riguarda tutti i fornitori IT per l'intero settore e i fornitori di servizi. Verifica che il tuo fornitore di servizi si conformi agli standard PCI.

I commercianti e i fornitori di servizi sono tenuti a conformarsi allo standard PCI Data Security Standard nell'elaborazione dei dati relativi alle carte di credito e alle transazioni. Ciò implica il superamento di un processo di certificazione svolto da un agente autorizzato da VISA e MasterCard.

MICROS-Fidelio considera questa iniziativa estremamente importante. Quando sono state diffuse le nuove linee guida che proibivano la pratica comune di archiviare i dati delle carte di credito, noi abbiamo implementato delle modifiche in tutte le nostre applicazioni software per conformarci ai nuovi regolamenti.

Successivamente abbiamo aggiunto altre modifiche per garantire la massima conformità allo standard PCI. Attualmente offriamo ai nostri clienti versioni conformi allo standard PCI dei nostri prodotti MICROS-Fidelio sotto forma di aggiornamenti. L'assistenza MICROS-Fidelio può inoltre realizzare aggiornamenti mirati o patch. Consulta l'assistenza per verificare se è possibile realizzare una patch per il tuo prodotto.

Sin dal 2006 MICROS-Fidelio è un produttore software certificato di applicazioni di pagamento conformi agli standard di sicurezza. Un elenco di tutti i fornitori di software certificati e delle relative applicazioni è disponibile nel sito Web ufficiale di VISA oppure qui.

Ti consigliamo non solo di verificare la conformità della versione del prodotto che usi allo standard PCI, ma anche di controllare che tutte le opzioni necessarie per la conformità siano configurate correttamente. L'elenco di tutti i sistemi certificati PCI è disponibile qui.

I nostri reparti dell'assistenza saranno a tua disposizione per aiutarti a configurare le opzioni. Puoi contattarci durante i normali orari di disponibilità dell'assistenza indicati nel contratto di assistenza standard. Qualora avessi bisogno di un aggiornamento del software, stabiliremo insieme la pianificazione.

Per contattare il nostro centro di assistenza locale MICROS-Fidelio EAME, fai clic qui.

MICROS-Fidelio e il tuo fornitore di servizi non potranno essere ritenuti responsabili per eventuali danni causati dall'utilizzo di prodotti non conformi.

Siamo consapevoli che le banche e i commercianti che accettano carte di credito ultimamente sono sottoposti a una notevole pressione. Tuttavia riteniamo che sia nostro dovere informarti su questo aspetto.

Saremo lieti di assisterti in ogni modo possibile.

Lo standard PCI DSS (Payment Card Industry Data Security Standard) riguarda tutti i commercianti e le aziende che accettano pagamenti tramite carta di credito e che ne archiviano i dati.

Per poter soddisfare i requisiti dello standard PCI, è necessaria una versione del software conforme. Per un elenco aggiornato di tutte le versione conformi, consulta il nostro Elenco di compatibilità.

Se nella tua azienda si gestiscono e archiviano dati relativi alle carte di credito, puoi aggiornare le versioni del software più datate per adeguarti allo standard.

Il tipo di aggiornamento di cui hai bisogno dipende dalla versione del software di cui disponi al momento. I nostri reparti di assistenza e vendite saranno lieti di assisterti.

Verifica inoltre che la rete sia sicura e che non siano presenti copie o sistemi di formazione non protetti/non crittografati nella rete.

Le modifiche devono essere eseguite solo quando indicato dall'assistenza. Saremo a tua disposizione per aiutarti a stabilire se sono necessarie modifiche alla configurazione.

Il numero di versione in genere viene visualizzato sullo schermo all'avvio del software. Se hai problemi a individuare il numero di versione, rivolgiti all'assistenza.

Se disponi di un contratto di assistenza attivo, gli aggiornamenti sono gratuiti.

In molti casi, a seconda del prodotto, il reparto di assistenza può eseguire un aggiornamento in remoto.

Se la versione che usi è molto datata, potrebbe essere necessario eseguire l'aggiornamento onsite, che comporterà l'addebito di un costo. In base al tipo di aggiornamento, è possibile che debbano essere addebitati altri costi, ad esempio per nuovi componenti hardware.

Per soddisfare i requisiti di sicurezza devi evitare di archiviare i dati relativi alle carte di credito e aggiornare il sistema con una versione del software conforme allo standard PCI.

Contatta i responsabili IT della sede centrale per coordinare gli aggiornamenti.

Non possiamo rilasciare singoli certificati. Tutti i fornitori di software che distribuiscono prodotti certificati sono elencati nel sito Web ufficiale di VISA (elenco di fornitori di software certificati) insieme alle specifiche versioni del software. Le aziende non presenti nell'elenco non hanno ottenuto una certificazione ufficiale e non soddisfano i requisiti dello standard PCI. L'elenco viene aggiornato regolarmente da VISA.

La risposta a questa domanda dipende dalla versione del software. Il nostro team dell'assistenza potrà fornirti informazioni dettagliate sullo stato della versione che stai utilizzando. Inoltre, è possibile che siano stati aggiunti campi personalizzati specifici per l'azienda su tua richiesta, che vengono compilati manualmente.

Se non inserisci o archivi dati relativi alle carte di credito in alcun punto del sistema o della rete, sei conforme allo standard PCI. In questo caso, non sono necessari aggiornamenti del software o modifiche alla configurazione.
Abbiamo acquistato il terminale della carta di credito tramite MICROS-Fidelio. È conforme allo standard PCI?
MICROS-Fidelio non commercializza terminali per carte di credito. Per ulteriori informazioni, contatta il tuo fornitore di servizi (ad esempio Concardis o Elavon).

MICROS-Fidelio non commercializza terminali per carte di credito. Per ulteriori informazioni, contatta il tuo fornitore di servizi (ad esempio Concardis o Elavon).

La tua azienda è conforme se non vengono immessi manualmente i dati delle carte di credito nel sistema Front Office. Per ulteriori dettagli, consulta la documentazione ufficiale dello standard PCI-DSS.