Hai bisogno di altre informazioni? Vai alle FAQ

    Sei già cliente?

    Accedi
    Hai bisogno di altre informazioni? Vai alle FAQ
    Sicurezza2022-04-29T10:14:23+02:00

    Sicurezza

    Lo standard PCI-DSS è un insieme di requisiti ai quali un esercente deve adeguarsi per poter gestire i dati sensibili relativi alle carte di credito dei propri clienti.

    Il trattamento dei dati sensibili

    Quando un cliente acquista un prodotto o un servizio su un sito e-commerce, le informazioni relative alla sua carta di credito devono essere gestite in maniera sicura, nel rispetto della normativa vigente. Questo può avvenire in due modi:

    1. L’istituto di pagamento, che fornisce all’esercente il POS virtuale, si fa carico del trattamento dei dati sensibili del cliente finale e quindi è responsabile anche dei relativi adempimenti di sicurezza.
    2. L’esercente gestisce in prima persona i dati relativi alle carte di credito dei suoi clienti e quindi è tenuto, per legge, a rispettare alcuni requisiti, tra cui l’ottenimento della certificazione PCI-DSS.

    Nel primo caso, è l’istituto di pagamento a dover operare in conformità con gli standard PCI-DSS. L’’esercente deve solo soddisfare alcuni semplici requisiti di sicurezza. Nel secondo caso, per ottenere la certificazione PCI-DSS, l’esercente dovrà dimostrare l’adempimento ad una serie di requisiti molto stringenti a livello gestionale, procedurale e strutturale.

    Che cos’è e come funziona

    La certificazione PCI-DSS (Payment Card Industry Data Security Standard) è uno standard di sicurezza condiviso e riconosciuto a livello gloable, sviluppato dal PCI – Security Standard Council. Il PCI – Security Standard Council è un’organizzazione fondata da MasterCard, Visa, American Express, Discover Financial Services, JCB International, e dedicato allo sviluppo, al miglioramento, alla memorizzazione, alla distribuzione e all’implementazione degli standard di sicurezza per la protezione dei dati delle carte.
    La certificazione PCI-DSS stabilisce un insieme di regole condivise, alle quali chiunque tratti dati sensibili di pagamento deve sottostare. Un esercente che vende online, quindi, sarà tenuto a soddisfare una serie di requisiti in termini di:

    • Memorizzazione e protezione dei dati dei titolari di carte
    • Cifratura dei dati sensibili trasmessi su reti aperte e pubbliche
    • Adozione di misure preventive per la gestione delle vulnerabilità
    • Sviluppo, gestione e monitoraggio di sistemi e applicazioni sicure
    • Gestione del personale che ha accesso ai dati di titolari di carta
    • Monitoraggio degli accessi alle risorse di rete e ai dati dei titolari di carta
    • Esecuzione regolare di test di sicurezza sui sistemi e sui processi
    • Adozione di politiche specifiche atte a garantire la sicurezza delle informazioni per dipendenti e collaboratori.

    È possibile ottenere tutta la documentazione e l’elenco completo dei requisiti sul sito ufficiale del PCI-Security Standard Council.

    3D Secure è un sistema di protezione dei pagamenti online, che prevede l’immissione di una password di verifica da parte del cliente per concludere una transazione.

    Un livello in più di sicurezza

    3D Secure (3 Domain Secure) è un servizio disponibile per carte MasterCard, Visa e American Express, e conosciuto con i nomi “MasterCard SecureCode”, “Verified by Visa”, “SafeKey”. Si tratta di un protocollo che aggiunge un livello di sicurezza aggiuntivo ai pagamenti online con carta di credito. Prevede l’abbinamento di una password alla carta di pagamento utilizzata per gli acquisti e-commerce.
    Ogni volta che viene effettuato un acquisto online, il cliente, in base alla regole stabilite dall’Istituto emittente della carta, viene reindirizzato in un ambiente sicuro, all’interno del quale dovrà inserire la propria password per confermare l’acquisto.
    La password 3D Secure può essere scelta a priori dal cliente oppure inviata tramite SMS in modalità One Time Password (ad ogni acquisto, il cliente riceve il codice di sicurezza unico da inserire nel campo di compilazione).

    Perchè una password aggiuntiva?

    Quando si parla di acquisti online, la sicurezza non è mai troppa. Il corretto inserimento della password per finalizzare l’acquisto ha l’obiettivo di verificare che chi utilizza lo strumento di pagamento sia effettivamente il titolare della carta.

    Puoi ottenere maggiori informazioni e scoprire come attivare 3D Secure sui siti ufficiali MasterCard SecureCode e Verified By Visa.

    CVV è un codice di sicurezza, presente sul retro di ogni carta di credito, il cui inserimento è necessario per completare una transazione online.

    Un codice di verifica aggiuntivo

    Il numero CVV, acronimo per Card Verification Value, è un codice di 3 cifre presente sul retro delle carte di credito o di debito Visa, MasterCard e Discover. Sulle carte American Express, il codice è di 4 numeri ed è posizionato sul fronte.
    Il codice di sicurezza è stampato su tutte le carte MasterCard emesse da Gennaio 1997 e su tutte le carte Visa da Gennaio 2001.
    Il codice è necessario per convalidare gli acquisti online e viene richiesto insieme agli altri dati relativi alla carta di credito del cliente (nome, cognome, numero di carta e scadenza). L’inserimento del codice CVV serve a confermare che chi sta effettuando il pagamento è effettivamente in possesso non solo del numero di carta e dei dati nominativi, ma soprattutto ha con sé la carta fisica, riducendo così le possibilità di frode.
    È importante sottolineare che il codice CVV non coincide con il PIN della carta di credito, avendo i due codici funzioni diverse. Va quindi posta molta attenzione nel corretto utilizzo dell’uno o dell’altro codice, e nel mantenere entrambi segreti.

    Nomi diversi, un unico codice

    Il codice CVV è conosciuto anche come codice CSC (Card Security Code) e viene utilizzato con sigle diverse a seconda del circuito:

    • CVV2 per le carte del circuito Visa
    • CVC2 per le carte del circuito MasterCard
    • CID per le carte del circuito American Express

    Il numero 2 dopo CVV e CVC indica una seconda generazione, più evoluta, del sistema che genera il codice.

    SSL-TLS è un protocollo crittografico che protegge la trasmissione dei dati sensibili via web, durante i processi di acquisto online.

    Proteggere il passaggio dei dati sul web

    Quando un cliente effettua un acquisto online, i dati sensibili relativi alla sua carta di credito si spostano da un punto A (il sito e-commerce sul quale sta acquistando prodotti o servizi) a un punto B (l’ambiente web dell’ente di credito che rende possibile il pagamento) e ritorno. Durante questo spostamento, è necessario che i dati del cliente siano sempre protetti.

    Uno dei metodi più efficaci per garantire che la comunicazione tra A e B avvenga in maniera sicura è crittografare le informazioni, cioè trasmettere i dati secondo un codice convenzionale segreto, decifrabile solo da chi è in possesso di una “chiave” per interpretarlo correttamente.

    Il protocollo SSL-TLS, acronimo per Secure Sockets Layer – Transport Layer Security, fa esattamente questo: cifra le comunicazioni che transitano tra due nodi della rete, ad esempio tra il sito di un esercente e i server di un istituto di credito come Worldline, garantendo autenticazione, cifratura, privacy e integrità dei dati trasmessi.

    Poichè gli unici soggetti in possesso della chiave di cifratura (solitamente a 128 bit o più) sono i sistemi dell’esercente e quelli dell’ente che fornisce il POS virtuale, il rischio che qualcuno possa intercettare i dati, decodificarli e farne un uso fraudolento si riduce drasticamente.

    Vari livelli di sicurezza

    È importante sottolineare che questo tipo di protocollo non verifica la validità o meno dei dati trasmessi, né tantomeno è in grado di prevenire eventuali usi della carta di credito da parte di soggetti non autorizzati. Interviene solo come elemento di protezione del canale di trasmissione dei dati.

    Per questo motivo, la sicurezza dei pagamenti online non è demandato esclusivamente al protocollo SSL-TLS ma anche ad altre forme di controllo come, ad esempio, il 3D Secure, il codice CVV e le certificazioni di sicurezza tipo PCI-DSS.

    Alcune buone pratiche di comportamento, insieme all’adozione dei sistemi tecnologici più evoluti, consentono di ridurre al minimo i rischi di sicurezza legati ai pagamenti elettronici.

    Cosa controllare nei pagamenti in store

    Ecco la checklist degli elementi da verificare prima di accettare un pagamento con carta:

    1.Controllo carta-ricevuta

    Il modo più semplice per verificare eventuali tentativi di frode è accertarsi che le ultime 4 cifre del numero della Carta stampate in rilievo sul fronte della stessa corrispondano con le ultime 4 cifre stampate elettronicamente sulla ricevuta emessa dal terminale POS.

    Se il numero della Carta e quello della ricevuta del terminale POS non corrispondono, l’Esercente è tenuto a non accettare la Carta quale forma di pagamento anche in presenza di un codice di autorizzazione. In caso di mancata verifica del numero della Carta e conseguente accettazione della transazione, l’Esercente potrebbe essere soggetto a procedura di storno ‘chargeback’ per l’importo dell’operazione.

    2.Validità della carta

    La Carta dovrà essere esaminata attentamente riguardo le date di inizio validità e scadenza, poste sul fronte. La transazione deve avvenire entro e non oltre le date indicate. Non dovranno essere accettare Carte prima della data di inizio validità (primo giorno del mese) o dopo la data di scadenza (fino all’ultimo giorno del mese compreso).

    3. Caratteri in rilievo

    Assicurarsi che i caratteri in rilievo sulla Carta abbiano tutti identiche dimensioni, stesso stile e che siano tutti allineati. Verificare inoltre che i numeri o le lettere non siano stati impressi due volte (è possibile individuare i caratteri originali guardando il retro della Carta). È importante ricordare che non tutte le carte hanno i numeri a rilievo, come ad esempio le carte del circuito Visa Electron.

    4. Numero della carta

    Assicurarsi che le ultime 4 cifre del numero di Carta impresso in rilievo sul fronte corrispondano a quelle stampate nello spazio riservato alla firma sul retro. Verificare inoltre la presenza di eventuali ‘impronte’ nel numero impresso in rilievo, che potrebbero indicare un’operazione di appiattimento del numero di Carta originale e la successiva stampa di nuovi numeri in rilievo.

    5. Nome del Titolare

    Se sul fronte della Carta sono impressi in rilievo il nome e il cognome del Titolare, verificare che non sussistano evidenti incompatibilità con l’acquirente.

    6. Firma del Titolare

    Controllare il retro della Carta. Assicurarsi che lo spazio riservato alla firma non risulti alterato o manomesso in alcun modo (uno spazio manomesso potrebbe apparire scolorito, mostrare tracce di colla o vernice, o ancora recare segni di cancellatura in superficie). La firma apposta sul retro della Carta deve corrispondere a quella apposta sulla ricevuta di pagamento.

    7. Carta in bianco

    In presenza di una Carta priva di firma nell’apposito spazio (sul retro), contattare immediatamente il servizio di assistenza dell’istituto che ha emesso la carta. Non consentire al cliente di firmare la carta prima di aver effettuato le opportune verifiche.

    8. Controllo con lampada a infrarossi

    Se ponete una Carta genuina sotto la lampada a infrarossi, nel caso in cui già la utilizziate per controllare la genuinità delle banconote, compariranno dei segni speciali, diversificati in base al circuito. Se queste immagini non dovessero comparire, la Carta è probabilmente falsa.

    9. Prime quattro cifre

    Sulle Carte Visa e MasterCard controllare che le prime 4 cifre del numero di Carta siano ripetute stampate in caratteri minuti sopra o sotto le prime 4 cifre a rilievo. In caso di assenza o mancata corrispondenza, la Carta è probabilmente falsa.

    10. Ologramma

    Controllare l’ologramma riprodotto sul fronte (nelle più recenti anche sul retro) di tutte le Carte Visa, MasterCard e PagoBANCOMAT®. Gli ologrammi da individuare sono i seguenti:
    Carte Visa – colomba che vola
    Carte MasterCard – mappamondo
    Carte PagoBANCOMAT® – logo PagoBANCOMAT®
    Assicurarsi che l’ologramma non risulti danneggiato, poiché potrebbe trattarsi di un caso di manomissione.

    11. Caratteri speciali “Flying V” e “MC”

    Sulle Carte emesse prima del 2006, esaminare la “Flying V” stampata in rilievo sulle Carte Visa e la sigla “MC’ sulle carte MasterCard. Si tratta di caratteri speciali, particolarmente difficili da falsificare. Di conseguenza sulle Carte falsificate sono spesso del tutto assenti o realizzati usando caratteri “V” e “MC’ standard.

    12. Carte a microprocessore

    Assicurarsi che il microprocessore (chip) non riporti evidenti segni di manomissione o danneggiamento. Nota: per le procedure relative all’accettazione di Carte a microprocessore, si rimanda alle informazioni fornite dal Servizio Esercenti.

    13. Banda Magnetica

    Assicurarsi che la Carta sia provvista di banda magnetica sul retro, e che quest’ultima non risulti in alcun modo manomessa.

    14. Utenti diversi dal titolare

    Il Titolare di una Carta non può autorizzare terzi a utilizzare la propria Carta per effettuare acquisti. Le Carte che rechino 2 firme nell’apposito spazio sul retro sono da considerarsi non valide.

    15. Carte con fotografia

    Nel caso di Carte corredate di fotografia del Titolare, assicurarsi che l’acquirente corrisponda alla persona ritratta sulla fotografia.

    NOTA BENE
    Worldline utilizza POS a tecnologia EMV, predisposti a ricevere carte con microchip che garantiscono un livello di sicurezza ancora più elevato.

    Cosa controllare nei pagamenti online

    Quando l’attività di un esercente si svolge prevalentemente online, il controllo delle informazioni su chi paga e la prevenzione delle frodi è ovviamente più complessa. Principalmente per due motivi:

    1. Non c’è la possibilità di controllare gli elementi “fisici” della carta (ologramma, nome e numero stampato, altri elementi di autenticazione, ecc).
    2. Non è possibile associare il titolare della carta alla persona che sta effettuando il pagamento online.

    La sicurezza, quindi, viene demandata non tanto al controllo “visivo” sulla carta fisica quanto ad una serie di elementi di garanzia offerti da chi emette la carta, dai vari circuiti di pagamento e dagli istituti di credito:

    • Protocolli per la trasmissione sicura dei dati > SSL-TLS
    • Elementi di controllo sulla carta > CVV
    • Livelli aggiuntivi di sicurezza > 3D Secure
    • Requisiti per la gestione dei dati sensibili > PCI-DSS

    A questi elementi, va poi aggiunta una serie di verifiche che l’esercente può effettuare una volta ricevuto l’ordine in caso di situazioni poco chiare:

    • Chiamare il titolare della carta di credito e verificare la correttezza dell’ordine
    • Verificare se i numeri di Carta forniti in un breve arco di tempo mostrano caratteristiche insolite o numeri di riferimento progressivi consecutivi (solitamente i truffatori usano numeri di carta identici, fatta eccezione per le ultime 4 cifre)
    • Prestare particolare attenzione nel caso di indirizzi di consegna all’estero
    • Controllare, se possibile, che i dati dell’indirizzo di consegna coincidano con quelli del titolare carta
    • Evitare pratiche di rimborso su numeri di carta differenti da quelli che hanno effettuato l’acquisto

    © Worldline Merchant Services Italia S.p.A. - P.I. 05963231005
    I contenuti del sito hanno prevalentemente carattere promozionale e finalità pubblicitarie

    © Worldline Merchant Services Italia S.p.A. - P.I. 05963231005
    I contenuti del sito hanno prevalentemente carattere promozionale e finalità pubblicitarie