Tutti abbiamo delle carte di pagamento. Si tratti di bancomat o di carta di credito/debito, le utilizziamo per acquistare articoli nei negozi o su internet, prenotare viaggi, persino per pagare le bollette. Ma la comodità di queste carte ha comunque un prezzo. Ogni volta che effettuiamo un acquisto, le nostre informazioni personali vengono condivise su una serie di reti, rendendole vulnerabili a potenziali tentativi di furto. Non è quindi sorprendente che il fenomeno del furto dei dati sia aumentato sensibilmente nel corso degli ultimi anni.
L’industria delle carte di pagamento ha risposto a questo crescente trend elaborando una lista di 12 requisiti denominata Payment Card Industry Data Security Standard (PCI DSS), pensati per far sì che ogni organizzazione che elabora, conserva o trasmette le informazioni relative alle carte di credito lo faccia in un ambiente sicuro. Nonostante questi standard possano prevedere conseguenze importanti in caso di non conformità, molti retailer e altre organizzazioni si trovano a fronteggiare significative sfide IT che possono rendere difficoltoso il raggiungimento della compliance.
Sicurezza dati => Guida alla sicurezza in azienda
Lo sfruttamento della tecnologia di gestione dei sistemi può servire come elemento di base per supportare i retailer ad aderire rapidamente alla compliance PCI creando, implementando, configurando e mantenendo sistemi sicuri che gestiscono e accedono alle informazioni dei titolari delle carte.
Indirizzare le criticità di gestione
Da una prospettiva IT, i retailer di ogni dimensione si trovano spesso a gestire criticità legate principalmente a costi, struttura e sicurezza. Per esempio, qualcuno potrebbe non disporre di specialisti IT in-house per indirizzare le problematiche di compliance o avere l’esigenza di gestire location multiple o remote. Altri potrebbero avere predisposto misure di sicurezza minime per i sistemi Point-of-Sale (POS) che sono tra i bersagli più a rischio truffa.
POS, proroga per lo Spesometro => Vai ai dettagli
Queste preoccupazioni non sono legate alle dimensioni di un’azienda , ma sono spesso critiche per quelle di medie e piccole dimensioni che operano con risorse e staff limitati. Prendiamo in considerazione un recente esempio di un retailer di piccole dimensioni che è stato vittima di un devastante furto di dati che lo ha quasi costretto a chiudere l’attività. Gli hacker sono stati in grado di accedere al sistema POS del negozio sfruttando uno username e una password deboli, e hanno installato il software che ha acquisito e copiato le informazioni delle carte di credito prima che venissero inviate per essere elaborate. Questo software è stato scoperto e rimosso un anno più tardi, ma solo dopo avere comportato una spesa di $22.000 per individuare la fonte della violazione e predisporre un potenziamento della sicurezza.
Questo tipo di violazione dei dati è diffusa e causa tipicamente perdite come conseguenza di downtime, ammende, perdita di privilegi nel trattamento del credito, nonché di danni alla fidelizzazione del cliente e al valore del marchio. Ecco perché è così importante soddisfare i requisiti di PCI DSS e ottenere la PCI compliance.
Tracciabilità dei flussi finanziari => Leggi la nuova normativa 2012
In che modo la gestione dei sistemi contribuisce alla compliance
La gestione dei sistemi gioca un ruolo vitale nella compliance dato che unifica gli sforzi nel panorama PCI, nel data center così come negli endpoint. L’IT semplifica attività quali la gestione della configurazione, nonché il patching di applicazioni e sistema operativo per migliorare l’efficienza IT e aderire agli obblighi di compliance.
Alcuni dei vantaggi chiave che la gestione dei sistemi è in grado di offrire per il conseguimento della conformità PCI includono:
- Risparmi per l’IT in termini di tempo, grazie all’automazione di task di system management relative a routine necessarie per il mantenimento della compliance, quali software update, manutenzione delle configurazioni approvate e patching dei sistemi con le ultime versioni.
- Funzionalità di primo piano quali applicazione di patch e policy di sicurezza come: il rafforzamento delle password, la distribuzione e l’aggiornamento del software da remoto, un inventario IT semplificato per assicurare che solo i dispositivi approvati siano connessi alla rete, oltre a una reportistica per la compliance.
- Protezione delle informazioni private.
- Possibilità per le aziende di concentrarsi sul proprio core business e risparmiare denaro, evitando penalità legate alla non-compliance.
L’ottenimento della PCI compliance è un impegno complesso che richiede l’utilizzo di un Qualified Security Auditor, unitamente ad applicazioni di system management e di reportistica che monitorino costantemente gli endpoint. Le organizzazioni dovrebbero prendere in considerazione soluzioni di system management che siano robuste, affidabili e semplici da implementare e mantenere, che possono aiutare a ridurre i costi operativi dell’IT e migliorare le prestazioni di gestione, consentendo alle organizzazioni di focalizzarsi sulle attività di business e sui clienti.
Articolo gentilmente concesso da dIvan Renesto, Enterprise Field Marketing Manager di Dell ( per maggiori informazioni visita il sito dell.com/kace)
