Quali sono gli standard del settore delle carte di pagamento?
Gli standard del settore delle carte di pagamento sono gli standard che guidano il modo in cui le società di carte di credito e i commercianti con cui gestiscono i dati delle carte di credito ed elaborano i pagamenti. Fondamentalmente qualsiasi standard o best practice ampiamente seguita nel settore delle carte di credito potrebbe essere definito standard del settore delle carte di pagamento. Tuttavia, la frase viene spesso utilizzata in connessione con lo standard di sicurezza dei dati del settore delle carte di pagamento, noto anche come PCI DSS. PCI DSS è un documento sperimentato da cinque importanti società di carte di credito che fornisce indicazioni su come archiviare i numeri e le ricevute delle carte di credito, come proteggere le reti di computer commerciali e come gestire l'elaborazione dei pagamenti in outsourcing, tra le altre cose. La conformità agli standard del settore delle carte di pagamento stabiliti nel PCI DSS è tecnicamente volontaria, ma la mancata osservanza ha spesso conseguenze negative per le aziende e i proprietari dei negozi.
Le carte di credito vengono spesso utilizzate per pagare di tutto, dagli acquisti una tantum agli acquisti quotidiani come generi alimentari e gas. Quando un cliente scorre una carta di credito, un sistema informatico di proprietà del commerciante legge le informazioni della carta di credito, quindi trasmette tali informazioni tramite una connessione Internet al mainframe del computer della società della carta di credito per l'autenticazione. Sebbene questa transazione richieda solitamente solo un numero di secondi, comporta molte informazioni altamente sensibili. Se tali informazioni non sono adeguatamente protette, possono aprire frodi sia ai titolari di carte sia ai commercianti. Gli standard del settore delle carte di pagamento tradizionali sono progettati per prevenire o almeno ridurre la probabilità di tale frode.
Sebbene alcuni paesi stabiliscano standard uniformi di sicurezza dei dati per le transazioni finanziarie, non tutti lo fanno. Anche le leggi esistenti regolano generalmente il settore finanziario in generale, uno standard minimo che non è adattato alle esigenze del settore delle carte di credito. Le normative del settore delle carte di pagamento diffuse semplicemente non esistono. Se ampiamente adottato, gli standard del settore delle carte di pagamento possono colmare questa lacuna.
Uno dei maggiori vantaggi degli standard del settore delle carte di pagamento è che sono creati per e dalle società che utilizzano e gestiscono maggiormente le carte di credito. Per loro stessa definizione, gli standard sono volontari e nessuna legge obbliga le aziende ad adottarli. Quando un numero sufficiente di aziende inizia a implementare gli standard delle carte di pagamento concordati, tuttavia, gli standard diventano spesso universalmente previsti. Standard come PCI DSS mirano a unificare le misure di sicurezza delle carte di credito in tutto il mondo.
Il PCI DSS è stato originariamente redatto da un gruppo noto come PCI Security Standards Council. Tale consiglio è composto da rappresentanti di cinque delle più grandi società di carte di credito del mondo: American Express®, Discover®, JCB®, MasterCard® e Visa®. Oltre a redigere e aggiornare gli standard, il consiglio si impegna a migliorare gli standard generali del settore delle carte di credito e le normative del settore. Il consiglio educa i settori della privacy e della sicurezza sulla sicurezza dei dati delle carte di credito per il raggiungimento di questo obiettivo. Fornisce inoltre programmi di formazione e sponsorizza conferenze volte ad aiutare le aziende a conformarsi.
Ciascuna delle società di carte di credito che partecipano al PCI Security Standards Council richiede ai venditori che accettano le loro carte di conformarsi agli standard del settore delle carte di pagamento del consiglio. Ciò significa che i fornitori devono adottare e monitorare come i loro sistemi implementano le specifiche del settore delle carte di pagamento stabilite negli standard se desiderano continuare ad accettare le carte di credito come pagamento. Le società di carte di credito controllano di solito la conformità delle grandi aziende su base annuale. Le piccole imprese sono generalmente autorizzate a dichiarare autonomamente la propria conformità. Se si scopre che un commerciante non rispetta la conformità, le sanzioni possono variare dalle ammende al completo revoca del servizio di carte di pagamento, a seconda della gravità della violazione.