open menu
axerve docs
Prevenzione frodi/Sicurezza/Cos'è PCI-DSS

Cosa significa PCI-DSS?

L’acronimo PCI corrisponde a Payment Card Industry , DSS invece per Data Security Standard.

PCI è un consorzio (Council) creato dai maggiori produttori di carte di credito (Issuer) e la sua mission è quella di uniformare le modalità con le quali i dati delle carte di credito vengono gestite da esercenti ed intermediari.

PCI-DSS è uno standard che consiste in una serie di requisiti da soddisfare nella gestione sicura dell’accesso ai dati delle carte. Per esempio, i dati di carta devono essere criptati, protetti e un sistema di autenticazione deve essere in grado di identificare chi ha accesso a questi dati. Lo standard richiede anche test periodici dell’infrastruttura.

Axerve Ecommerce Solutions è certificato PCI-DSS 3.2. È possibile approfondire i temi legati allo standard PCI-DSS sul sito di PCIexternal link.

Documentazione di conformità richiesta dall’acquirer

In fase di attivazione del servizio di acquiring di un Ecommerce, il merchant deve fornire una dichiarazione di conformità allo standard PCI-DSS.

La tipologia di certificazione varia in base ai volumi di transato e alla tipologia di servizi offerti e può prevedere, a seconda del caso, l’intervento di un ente certificatore attestato dal Council PCI-DSS. È bene considerare, per esempio, che esistono delle differenze di certificazione tra un fornitore di servizi di pagamento (PSP) e un Ecommerce.

Esistono 4 livelli di certificazione che richiedono controlli e verifiche più approfondite a seconda del transato per Circuito, come mostrato nella tabella sottostante.

Certificazione tramite QSA (Qualified Security Assessor)

È la certificazione richiesta per gli Ecommerce di livello 1 e alle società che offrono servizi pagamento (PSP). È la più approfondita e richiede un audit annuale da parte di un ente certificatore esterno. Al termine dei controlli, vengono rilasciati dalla società certificatrice il ROC (Report of Compliance) e l’AOC (Attestation of Compliance). Il ROC include l’elenco puntuale di tutte le verifiche effettuate, l’AOC è un documento pubblico che le riassume.

Auto certificazione dell’Ecommerce

Si tratta di questionari di autovalutazione (SAQ) PCI DSS e sono strumenti di convalida destinati ad assistere gli esercenti e fornitori di servizi nell'autovalutazione della loro conformità allo standard PCI DSS che sono richiesti ai merchant di livello 2, 3 e 4. Ci sono più versioni dei SAQ (A, A-EP, B, etc) per soddisfare vari scenari. Di seguito una rappresentazione grafica che permette di identificare la tipologia di certificazione necessaria, in base ai servizi offerti dal merchant e ai suoi perimetri di competenza:

Una volta identificato il perimetro, basandosi sullo schema appena mostrato, è necessario anche valutare la certificazione SAQ (Self-Assessment Questionnaires) a seconda dei servizi attivati con Axerve.

SAQ A: Axerve Pay by Link, Lightbox, Pagina di pagamento standard (Pagam).
Axerve, azienda certificata PCI-DSS, gestisce tutti i dati di carta.

SAQ A-EP: iFrame (pagina di pagamento personalizzata), integrazione del gateway tramite API REST (submit dal browser e non dai server del merchant).
L’esercente deve integrare il gateway come riportato nella documentazione tecnica. È Axerve a gestire tutti i dati di carta.

SAQ D: integrazione del gateway tramite API SOAP/REST (server-2-server).
L’esercente salva i dati di carta sui suoi server prima di inviarli ad Axerve e deve essere PCI-compliant, secondo le specifiche riassunte nei capitoli precedenti. In base ai volumi di transato può essere richiesta solo il SAQ o una certificazione tramite QSA (AOC + ROC).

Precedente
prevRequisiti software
Successiva
Transazioni 3D Securenext