PCI
La sicurezza dell'e-commerce è un obiettivo primario per TPL. Per garantire ciò, siamo orgogliosi di dichiarare pienamente conformi al PCI DSS. Nell'ambito di un crescente impegno per proteggere l'integrità delle informazioni personali, il Consiglio di Sicurezza PCI ha stabilito una serie di regolamenti che le aziende online devono seguire per garantire la sicurezza degli acquisti online. TPL soddisfa tutte le specifiche descritte dal PCI Security Standards Council con il massimo dei voti – abbiamo dimostrato che la gestione della sicurezza, le politiche di sicurezza, l'architettura di rete e il design del software sono protetti e privi di eventuali vulnerabilità che potrebbero ostacolare le nostre vendite online.
Che cosa sono le specifiche PCI?
Il Payment Card Industry Data Security Standard (PCI DSS) è un insieme ampiamente accettato di politiche e procedure progettato per ottimizzare la sicurezza delle transazioni con carte di debito, carte di credito o carte prepagate e per proteggere i titolari delle carte dall'abuso delle loro informazioni personali. Il PCI DSS è stato creato nel 2004 da quattro grandi aziende di carte di credito: Visa, MasterCard, Discover e American Express.
Il PCI DSS definisce e gestisce sei obiettivi principali.
In primo luogo, deve essere mantenuta una rete sicura in cui possano essere effettuate transazioni. Questo requisito include l'uso di un firewall sufficientemente potente da essere efficace senza causare disagi ai titolari delle carte o ai venditori. Inoltre, le credenziali di accesso, come i numeri PIN e le password, non devono includere le impostazioni predefinite fornite dai venditori. I clienti devono essere in grado di cambiare facilmente e frequentemente queste informazioni.
In secondo luogo, le informazioni del titolare della carta devono essere protette dove sono memorizzate. I repository con dati vitali come date di nascita, il nome da nubile della madre, numeri di previdenza sociale, numeri di telefono e indirizzi e-mail devono essere sicuri contro gli attacchi informatici. Quando i dati del titolare della carta vengono trasmessi su reti pubbliche, devono essere crittografati in modo efficace. La crittografia digitale è fondamentale per tutte le forme di transazioni con carte di credito, ma particolarmente nell'e-commerce effettuato su Internet.
In terzo luogo, i sistemi devono essere protetti da attacchi hacker utilizzando software antivirus aggiornato, programmi anti-spyware e altre soluzioni anti-malware. Tutte le applicazioni devono essere prive di errori e vulnerabilità che potrebbero aiutare a rubare o modificare i dati del titolare della carta. Le versioni aggiornate del codice fornite dal software e dal sistema operativo (OS) devono essere installate regolarmente per garantire il livello più alto possibile di gestione delle vulnerabilità.
In quarto luogo, l'accesso alle informazioni e alle funzionalità del sistema deve essere limitato e monitorato. I titolari delle carte non devono fornire informazioni alle aziende, se non quando queste aziende devono conoscere tali informazioni per proteggere i titolari e per effettuare efficacemente una transazione. Ogni persona che utilizza un computer nel sistema deve ricevere un nome utente o un numero di identificazione univoco.
In quinto luogo, le reti devono essere costantemente monitorate e regolarmente controllate per garantire che tutte le misure e le procedure di sicurezza siano in atto, funzionino correttamente e siano aggiornate. Ad esempio, i programmi antivirus e anti-spyware devono essere forniti con le ultime versioni. Questi programmi devono scansionare tutti i dati scambiati, tutte le applicazioni, tutta la memoria RAM e tutti i dispositivi di archiviazione frequentemente, se non continuamente.
Infine, la politica ufficiale di sicurezza delle informazioni deve essere definita, mantenuta e rispettata in ogni caso e da tutti i soggetti coinvolti. Le misure di enforcement, come controlli e sanzioni per la non conformità, potrebbero essere necessarie.