8 consigli agli esercenti per proteggere i dati delle carte

DiHubert Hell

8 consigli agli esercenti per proteggere i dati delle carte

Protezione dei dati delle carte

Proteggere i dati delle carte dei clienti è uno dei doveri imprescindibili nell’ambito delle operazioni di pagamento.  Contemplare questo aspetto è diventato realtà per molti piccoli negozi, perché il Covid-19 li ha spinti (o per meglio dire, obbligati) a ripensare ai mezzi di pagamento accettati finora.

Fino all’inizio del 2020 in Germania il principale mezzo di pagamento nei piccoli negozi con servizio al pubblico era spesso il contante. Per far fronte alla prolungata chiusura dei negozi e alle successive restrizioni, numerosi esercenti si sono rapidamente convertiti agli ordini online e telefonici o hanno offerto questa possibilità aggiuntiva per i clienti.

Inoltre, per favorire il contenimento della diffusione del Covid-19 i clienti puntano di più sui pagamenti contactless e gli istituti di credito hanno prontamente innalzato a € 50,00 il limite di spesa oltre il quale è necessario digitare il PIN.

Questo articolo si rivolge ai piccoli e medi esercenti e imprese.

Protezione dei dati delle carte di credito: che fare?

Con l’aumento e, per alcuni esercenti, la recente introduzione dell’utilizzo delle carte come mezzo di pagamento (girocard, carte di debito, carte di credito), siete tenuti più che mai a occuparvi della tutela dei dati. La vostra competenza chiave è la vendita dei prodotti e di sicuro vi ponete spesso la domanda:

Cosa posso fare come esercente per proteggere i dati delle carte dei miei clienti?

Il Payment Card Industry Security Standards Council (PCI SSC) ha pubblicato di recente otto consigli per i commercianti per migliorare e garantire la protezione dei dati delle carte. Qui di seguito trovate i consigli, con alcuni miei brevi chiarimenti.

In qualità di Qualified Integrator and Reseller del PCI SSC posso esservi utile se avete domande sull’argomento. Potete contattarmi in modo semplice e veloce tramite questi canali.

Ora vediamo i consigli per proteggere i dati delle carte.

Consiglio 1: non conservate i dati delle carte al di fuori degli ambienti informatici sicuri

La miglior protezione contro il furto e la manomissione dei dati è non conservarli in alcun modo. Non scrivete i dati su bigliettini, e-mail, programmi di elaborazione di testi, tabelle, programmi per la gestione degli ordini, foglietti adesivi, ecc.

I dati delle carte devono trovarsi solo sul vostro terminale ufficiale e sicuro, collegato al vostro provider di servizi di pagamento. Solo lì e da nessun’altra parte, mai.

Consiglio 2: Utilizzate password sicure

Questa è una delle misure di sicurezza più facili da adottare. “Start” o “admin” non sono buone password, così come “0000” o “1234”. Le password deboli sono le principali vie di accesso che portano alla violazione dei dati.

Osservate i seguenti accorgimenti e aumenterete notevolmente la sicurezza dei dati delle carte e dei clienti:

  • Aggiornate la password con regolarità (ogni 30-60 giorni)
  • Non usate la stessa password per tutte le applicazioni/sistemi
  • Cambiate immediatamente le password di default dopo le installazioni di sistema
  • Idealmente le password non dovrebbero essere parole presenti nel dizionario e dovrebbero contenere:
  • Lettere maiuscole
  • Lettere minuscole
  • Cifre
  • Caratteri speciali

Consiglio 3: procuratevi l’ultima versione del software

Gli aggiornamenti software sono snervanti: richiedono tempo, a volte non funzionano (e richiedono ancora più tempo) e non portano fatturato.

Fin qui tutto vero, ma … gli aggiornamenti risolvono spesso, oltre ai comuni errori, anche falle di sicurezza conosciute. Non eseguire gli aggiornamenti dei software per un lungo periodo, soprattutto su sistemi che ospitano dati importanti dei vostri clienti, non è affatto una buona idea.

Installate (o fate installare) sempre i nuovi aggiornamenti. In questo modo rendete difficile ai criminali l’accesso ai vostri dati e di conseguenza dei vostri clienti.

I cosiddetti Vulnerability Assessment (Test di Vulnerabilità) aiutano a identificare le criticità e le falle di sicurezza dei vostri sistemi informatici. Potete farli eseguire da un PCI Approved Scanning Vendor (ASV) certificato.

Consiglio 4: utilizzate un sistema di crittografia sicuro

I dati criptati, anche i dati di pagamento delle carte, possono essere letti solo in presenza della relativa chiave per la decrittografia. In questo modo potete tutelare i dati, soprattutto se li trasferite elettronicamente “da qualche parte”.

Cosa potete fare per la protezione dei dati delle carte?

Chiedete al vostro fornitore di servizi di pagamento (con il quale gestite le transazioni) se la cifratura del vostro terminale e delle vostre applicazioni è protetta dalla cosiddetta Point-to-Point Encryption (crittografia P2PE). Dovreste anche chiedere se si trova sulla lista dei sistemi/delle soluzioni approvate dal PCI SSC.

Se dovete creare o gestire un sito assicuratevi che il ckeckout (carrello) sia provvisto di una crittografia sicura, quindi attualmente almeno la versione TLS 1.2.

Consiglio 5: utilizzate solo un accesso remoto sicuro

È possibile che anche da venditori al dettaglio abbiate la necessità di concedere un accesso esterno al vostro sistema e ai dati. Se permettete l’accesso ai dati al di fuori della vostra rete locale:

  • Limitatelo il più possibile
  • Disattivate l’accesso da remoto quando non è necessario
  • Cambiate regolarmente le password per l’accesso da remoto
  • Non assegnate la stessa password a più utenti
  • Attivate la cosiddetta autenticazione a più fattori, cioè con un’autenticazione aggiuntiva oltre la password (ad esempio un codice di sicurezza variabile)

Consiglio 6: assicuratevi che il firewall sia configurato correttamente e aggiornato all’ultima versione

Il firewall è la roccaforte tra la vostra rete, i vostri dati e internet. Costituisce una barriera che respinge il traffico di dati indesiderato e soprattutto gli accessi indesiderati ai vostri dati.

Per via della sua complessità, l’installazione di un firewall pressoché impenetrabile dovrebbe essere affidata a uno specialista della rete, ma anche un firewall installato in autonomia con poche impostazioni di configurazione è meglio che non averne nessuno.

Consiglio 7: riflettete prima di cliccare

Ci sono numerose metodologie e tecniche che, con l’aiuto di mail o messaggi dei social media apparentemente “normali”, danno il via al cosiddetto phishing.

Lo scopo di tali azioni è ottenere i dati non accessibili pubblicamente, prediligendo naturalmente i dati di pagamento, di cui fanno parte i dati delle carte dei clienti ma anche i vostri accessi ai provider di servizi di pagamento, alla banca o in generale a dati di identificazione dell’utente e password di ogni tipo.

Prima di cliccare su link di mail o di altri messaggi, bisogna chiedersi se:

  • Conosco il mittente
  • Conosco l’oggetto della mail
  • Ciò ha che fare con me e la mia attività
  • Il testo del messaggio è formulato in modo errato o inadeguato
  • Il link da cliccare mostra un URL strano

Consiglio 8: scegliete partner affidabili

Ci sono sul mercato molti fornitori di servizi di pagamento e nella maggior parte dei casi (lo speriamo) si tratta di operatori onesti. Ma come fare a esserne certi?

Chiedete al vostro fornitore di servizi di pagamento (Payment Service Provider, PSP):

Siete certificati dal PCI DSS e lavorate in conformità ad esso?

Il Payment Card Industry Data Security Standard (PCI DSS) è uno standard di sicurezza a cui si devono attenere le aziende che utilizzano ed elaborano i dati delle carte di credito. A seconda dei criteri applicabili, la certificazione deve essere rinnovata a cadenza trimestrale o annuale.

Riassumendo: otto consigli per la protezione dei dati delle carte

Riassumiamo insieme ancora una volta gli otto consigli per la protezione dei dati delle carte dei vostri clienti.

  1. Non conservate i dati delle carte al di fuori degli ambienti informatici sicuri
  2. Utilizzate password sicure
  3. Procuratevi l’ultima versione del software
  4. Utilizzate un sistema di crittografia sicuro
  5. Utilizzate solo un accesso remoto sicuro
  6. Assicuratevi che il firewall sia configurato correttamente e aggiornato all’ultima versione
  7. Riflettete prima di cliccare
  8. Scegliete partner affidabili

Questa materia, gli otto consigli e la sicurezza dei dati in sé possono sembrare molto dispendiosi in termini di tempo e denaro. Non voglio negarlo.

Ma se lo paragonate al tempo e ai costi che dovreste impiegare in caso di compromissione dei dati dei vostri clienti e/o delle carte, allora tutto diventa relativo.

Il mondo dei pagamenti e della sicurezza dei dati

… non è sempre appassionante ed emozionante. Tuttavia, oggigiorno è necessario occuparsene nel momento in cui accettate pagamenti con carte.

Avete domande riguardo al mondo delle banche, dei sistemi di pagamento, dei pagamenti con carta e della sicurezza dei dati?

Rivolgetevi a me!

Perché non fare niente non è una soluzione.

Info sull'autore

Hubert Hell author