La conformità allo standard Payment Card Industry Data Security Standard (PCI DSS), che impone i requisiti di sicurezza a esercenti, fornitori di servizi e issuer e acquirer che gestiscono le informazioni sensibili relative a carte di credito, richiede un insieme di adempimenti differenziati in funzione del volume delle operazioni trattate.

Il servizio che proponiamo fornisce alle aziende nostre clienti un approccio programmatico per rispettare i requisiti PCI, di ridurre i rischi associati all’elaborazione dei dati delle carte di credito e di definire un’infrastruttura più sicura.

Per ottenere la certificazione, l’azienda deve dimostrare di rispettare tutti i 12 requisiti definiti dal PCI ed elencati di seguito:

• Requirement 1: Install and maintain a firewall configuration to protect cardholder data
• Requirement 2: Do not use vendor-supplied defaults for system passwords and other security parameters

• Requirement 3: Protect stored cardholder data
• Requirement 4: Encrypt transmission of cardholder data across open, public networks

• Requirement 5: Use and regularly update anti-virus software
• Requirement 6: Develop and maintain secure systems and applications

• Requirement 7: Restrict access to cardholder data by business need-to-know
• Requirement 8: Assign a unique ID to each person with computer access
• Requirement 9: Restrict physical access to cardholder data

• Requirement 10: Track and monitor all access to network resources and cardholder data
• Requirement 11: Regularly test security systems and processes

• Requirement 12: Maintain a policy that addresses information security

Il nostro pacchetto PCI include i seguenti servizi:

• PCI Security Assessment: comprende un assessment annuale presso il cliente per controllare la sicurezza dei sistemi, dei processi e delle procedure dove i dati dei titolari di carte di credito sono memorizzati, elaborate e trasmesse.
• PCI SAQ: comprende il supporto e/o la compilazione del PCI self-assessment questionnaire
• PCI IP Security Scan: comprende lo scan di tutti gli IP interni ed esterni
• PCI Source Code Vulnerability Scan: comprende lo scan del codice sorgente degli applicativi web che gestiscono dati sensibili
• PCI Web Application Penetration Test: comprende il penetration test degli applicativi web che gestiscono dati sensibili
• PCI Application Analysis: prevede l'analisi delle applicazioni per verificare se i dati sensibili sono salvati e/o crittografati in modo adeguato
• PCI Data Loss Assessment: comprende la ricerca di documenti – all’interno del network aziendale - che contengono dati sensibili e di cui si ha perso il controllo. I documenti, una volta censiti, vengono categorizzati e riportati in sicurezza
• PCI Internet Security Assessment: comprende il monitoraggio del traffic internet, in ingresso e in uscita, per capire se malware, crimeware, trojan o dati sensibili delle carte di credito passano incontrollati
• PCI Configuration and Policy Assessment: comprende l'analisi delle configurazioni e delle policy definite sui server/appliance
• PCI Compliance Gap and Remediation: comprende il supporto per creare il Report of Compliance (ROC) richiesto dal PCI, definire un documento di Gap Analysis sulle parti non in regola e un Remediation Plan per ridurre o annullare il gap tra la situazione esistente e quanto richiesto dal PCI.