L’acronimo PCI corrisponde a Payment Card Industry , DSS invece per Data Security Standard.
PCI è un consorzio (Council) creato dai maggiori produttori di carte di credito (Issuer) e la sua mission è quella di uniformare le modalità con le quali i dati delle carte di credito vengono gestite da esercenti ed intermediari.
PCI-DSS è uno standard che consiste in una serie di requisiti da soddisfare nella gestione sicura dell’accesso ai dati delle carte. Per esempio, i dati di carta devono essere criptati, protetti e un sistema di autenticazione deve essere in grado di identificare chi ha accesso a questi dati. Lo standard richiede anche test periodici dell’infrastruttura.
Fabrick Payment Orchestra è certificato PCI-DSS 3.2. È possibile approfondire i temi legati allo standard PCI-DSS sul sito di PCI.
In fase di attivazione del servizio di acquiring di un Ecommerce, il merchant deve fornire una dichiarazione di conformità allo standard PCI-DSS.
La tipologia di certificazione varia in base ai volumi di transato e alla tipologia di servizi offerti e può prevedere, a seconda del caso, l’intervento di un ente certificatore attestato dal Council PCI-DSS. È bene considerare, per esempio, che esistono delle differenze di certificazione tra un fornitore di servizi di pagamento (PSP) e un Ecommerce.
Esistono 4 livelli di certificazione che richiedono controlli e verifiche più approfondite a seconda del transato per Circuito, come mostrato nella tabella sottostante.
È la certificazione richiesta per gli Ecommerce di livello 1 e alle società che offrono servizi pagamento (PSP). È la più approfondita e richiede un audit annuale da parte di un ente certificatore esterno. Al termine dei controlli, vengono rilasciati dalla società certificatrice il ROC (Report of Compliance) e l’AOC (Attestation of Compliance). Il ROC include l’elenco puntuale di tutte le verifiche effettuate, l’AOC è un documento pubblico che le riassume.
Si tratta di questionari di autovalutazione (SAQ) PCI DSS e sono strumenti di convalida destinati ad assistere gli esercenti e fornitori di servizi nell'autovalutazione della loro conformità allo standard PCI DSS che sono richiesti ai merchant di livello 2, 3 e 4. Ci sono più versioni dei SAQ (A, A-EP, B, etc) per soddisfare vari scenari. Di seguito una rappresentazione grafica che permette di identificare la tipologia di certificazione necessaria, in base ai servizi offerti dal merchant e ai suoi perimetri di competenza:
Una volta identificato il perimetro, basandosi sullo schema appena mostrato, è necessario anche valutare la certificazione SAQ (Self-Assessment Questionnaires) a seconda dei servizi attivati con Fabrick.
SAQ A: Fabrick Pay by Link, Lightbox, Pagina di pagamento standard (Pagam).
Fabrick, azienda certificata PCI-DSS, gestisce tutti i dati di carta.
SAQ A-EP: iFrame (pagina di pagamento personalizzata), integrazione del gateway tramite API REST (submit dal browser e non dai server del merchant).
L’esercente deve integrare il gateway come riportato nella documentazione tecnica. È Fabrick a gestire tutti i dati di carta.
SAQ D: integrazione del gateway tramite API SOAP/REST (server-2-server).
L’esercente salva i dati di carta sui suoi server prima di inviarli a Fabrick e deve essere PCI-compliant, secondo le specifiche riassunte nei capitoli precedenti. In base ai volumi di transato può essere richiesta solo il SAQ o una certificazione tramite QSA (AOC + ROC).