Conclusa la terza edizione dell’incontro per fare il punto sugli scenari legati agli standard PCI organizzato da IKS e Kima
Troppo spesso leggiamo di carte di credito clonate, postazioni bancomat prese d’assalto, uniti al timore di abbandonare i vecchi schemi di pagamento in favore di nuove soluzioni, più sicure. Eppure il futuro è già evidente: dietro le difficoltà dell’adozione della tecnologia NFC vi è tutto un sottobosco di soluzioni on-the-cloud possibili e altamente qualificate.
Per capire meglio dove sta andando il futuro della sicurezza nel mondo dei pagamenti con carta di credito abbiamo fatto due chiacchiere con Vanni Galesso, BU Security Manager di IKS, azienda di consulenza specializzata nello sviluppo di soluzioni per l’IT in ambito sicurezza e Nicola De Bello, Founder di Kima, società del gruppo che si occupa di compliance. Le due realtà hanno organizzato il terzo PCI Forum Italia, evento riconosciuto come fondamentale per tenersi aggiornati su questione fondamentali del business dei pagamenti e della loro smaterializzazione.
Quale futuro per il payment
“Cambiare il futuro dei pagamenti non è semplice – ci racconta De Bello – ci sono tanti soggetti coinvolti e da mettere d’accordo ma noi ogni anno proviamo a far capire quanto è importante aggiornare metodi, strumenti e obiettivi. I consumatori lo fanno, perché non dovrebbero farlo anche chi opera nel settore in prima persona?” Kima si occupa della certificazione PCI e PCI-DSS (Payment Card Application Data Security Standard), un insieme di requisiti e di procedure standardizzate volte ad assicurare che i dati critici inerenti alle carte di credito (cardholder data) siano sempre sicuri.
A cosa serve la certificazione PCI
Sono quattro i soggetti coinvolti nei pagamenti attraverso carte di credito: le banche, gli esercenti, i service provider e gli sviluppatori di applicazioni a pagamento. Tutti devono conoscere le problematiche connesse alla sicurezza nel settore, provvedendo a mettere al sicuro le procedure transazionali degli utenti. ” Sono due i livelli di certificazione – ci spiega Galesso – il primo, quello più alto, è determinato dal numero di transazioni annuali. La verifica dei requisiti per la certificazione viene eseguita da audit specializzati ai quali, a volte, si possono affiancare audit esterni (di VISA) atti a controllora che i soggetti che devono possedere la certificazione siano a norma e provvedendo, nei dovuti casi, alle sanzioni previste”.
Certificazione di secondo livello
Il secondo livello di certificazione prevede un’autocertificazione, possibile per i soggetti che hanno solo un certo numero di transazioni e che non hanno l’obbligo di interventi esterni. Per entrambi i livelli esiste un primo scan della rete atto a verificare l’esistenza dei prerequisiti di base. Nonostante la normativa europea comprenda la necessità di certificare determinati soggetti tramite PCI-DSS, spesso ciò non accade, con un conseguente rischio di affidarsi a sistemi e strumenti non completamente sicuri.
Tenere alto l’interesse
“Il PCI Forum ci permette di mettere l’accento su temi attuali – sottolinea Paolo Pittarello, Founder e Amministratore Delegato di IKS – visto l’aumento degli utenti e, di conseguenza, dei rischi legati all’e-payment, è davvero importante discutere insieme ad esperti su tali argomenti, permettendo agli interessati di tenersi informati sulle norme e sugli strumenti più evoluti per effettuare un presidio costante degli accessi, delle operazioni e della Rete. Con questo evento, IKS e Kima rinnovano ogni anno il proprio impegno divulgativo e formativo su questo fronte”.