Menu
Menu
Quando si parla di compliance si fa riferimento a quell’insieme attività che garantiscono l’aderenza a normative, standard e best practies che interessano uno o più aspetti della vita di un’attività economica.
La compliance del Pos rientra nel più generale tema della sicurezza dei pagamenti, intesa come l’insieme di tutte le prassi che consentono di proteggere le transazioni finanziarie da violazioni di dati, frodi e accessi non autorizzati.
Attività molto eterogenee sono tenute a governare un tema complesso ed essenziale come la protezione delle informazioni sensibili dei clienti. In ballo c’è quanto di più prezioso, ovvero la fiducia della propria “customer base”.
Ecco perché in primis è fondamentale che ci sia la massima consapevolezza su quali sono i dati trattati e da proteggere e le prassi da evitare in assoluto (trasmissione di dati a soggetti non autorizzati, memorizzazioni non consentite, ecc).
Le organizzazioni che consentono pagamenti elettronici – siano esse aziende di e-commerce, negozi fisici, player del settore ospitalità- devono garantire la compliance del Pos.
Quest’ultimo si è evoluto nel tempo, e non è più inteso solo come un terminale hardware fisso, presentandosi anche in modalità mobile o virtuale.
Ma, in qualunque forma si presenti, per garantirne la compliance vanno rispettati gli standard PCI-DSS (Payment Card Industry Data Security Standard). Si tratta di un insieme di linee guida e requisiti di sicurezza che consentono alle aziende di elaborare, archiviare e trasmettere informazioni relative a carte di credito in un ambiente sicuro. Lo standard è pubblicato da un organismo indipendente, PCI Security Standards Council, creato dai principali marchi di carte di credito.
Semplificando il più possibile, rispettando Payment Card Industry Data Security Standard, si può: costruire e mantenere un network sicuro; proteggere i dati dei possessori di carta; gestire un programma di vulnerability management; implementare misure di forte controllo in fase di accesso; testare e monitorare regolarmente le reti; avere una policy di information security che indirizza tutto il personale.
Ma perché il titolare di un’attività che utilizza un Pos dovrebbe preoccuparsi della compliance allo standard PCI-DSS? Non basta semplicemente collaborare con fornitori di servizi di elaborazione dei pagamenti conformi alle norme PCI DSS?
Il rispetto degli standard citati riguarda tutti i soggetti coinvolti in una transazione (acquirenti, autorità emittenti, fornitori di servizi, esercenti, ecc).
A chiedere agli esercenti di certificare la loro conformità agli standard PCI – DSS, in relazione a determinate categorie di appartenenza, e al netto di esenzioni, sono infatti i circuiti internazionali.
L’accertamento della conformità allo standard avviene attraverso la compilazione di documenti appositi (tramite autocertificazione o rivolgendosi a un soggetto qualificato a rilasciare la certificazione, che creerà quindi un report e un attestato di conformità). La grandezza dell’azienda e l’ampiezza del volume di transazioni gestito ogni anno può incidere sulle modalità di scelta dell’accertamento della conformità.
Alcune aziende che offrono carte e sistemi di pagamento propongono, a tal fine, programmi che supportano gli esercenti nei passaggi necessari a ottenere la certificazione allo Standard PCI –DSS.
Tuttavia, anche nei casi in cui l’esercente utilizzi un servizio Pos o un gateway di pagamento di sua proprietà o fornito da terzi, o non si avvalga della consulenza del provider in materia di certificazione, lo strumento deve essere ugualmente omologato e rispettare gli standard di settore e le regole stabilite dai Circuiti (e tali restano gli obblighi in materia di certificazione, ndr).
Posto però che il Pos non è più solo il terminale elettronico collocato presso gli Esercenti, come garantire la compliance?
Come sottolineava un’analisi in merito, “la progressiva smaterializzazione del terminale Pos è strettamente legata all’evoluzione degli standard PCI-DSS, che non solo stabiliscono requisiti di sicurezza, ma abilitano anche nuove funzionalità, in grado di cambiare radicalmente il modo in cui le transazioni avvengono”. Detto altrimenti, non solo lo standard evolve per assicurare la tutela ma di fatto è fattore che abilita nuove vie all’uso del Point of Sale.
