Sto creando un sito di e-commerce e mi stavo chiedendo, devo acquistare un certificato PCI DSS o devo semplicemente rispettare gli standard?
È probabile che PCI-DSS non si applichi realmente a te. La maggior parte dei siti di e-commerce esternalizza il proprio pagamento a una società di elaborazione dei pagamenti, ad es. PayPal o Google Checkout. Ciò significa che non memorizzi mai informazioni finanziarie sui tuoi clienti.
Tuttavia, se vuoi farlo da solo e memorizzerai e accetterai i pagamenti con carta, allora dovresti leggere le linee guida PCI-DSS e comprendere appieno ciò che è necessario prima di andare avanti. PCI-DSS non è solo una certificazione: diventa parte del contratto stipulato con la banca che accetta i tuoi fondi.
Se non hai esperienza di sicurezza, dovrai ottenere un addestramento. Lo stesso vale per tutti gli sviluppatori che assumi. Potresti anche essere legalmente obbligato a seguire determinate leggi governative relative all'archiviazione dei dati (ad esempio Data Protection Act nel Regno Unito), che richiederà ulteriori approfondimenti. Potrebbe essere necessario consultare un avvocato.
Una volta completata la progettazione del sistema, vale la pena pagare un consulente di sicurezza per identificare eventuali problemi di sicurezza che potrebbero verificarsi. Da lì, puoi passare all'implementazione. Dovrai seguire rigorose linee guida sulla sicurezza del codice, oltre a prendere in attenta considerazione la scelta dell'hardware e delle piattaforme di hosting. Potrebbe essere necessario investire in un HSM o in un sistema simile per memorizzare i dettagli della carta di credito, in base alle leggi e ai regolamenti applicabili. Una volta completato lo sviluppo, è necessario un esame della sicurezza da parte di un'azienda certificata per fornire test di conformità PCI-DSS. Questi test di solito comportano normali test di penetrazione, oltre a verificare la presenza di lamentele in tutte le aree dello standard.
Una volta terminato, sei (probabilmente) compatibile con PCI-DSS. La tua banca potrebbe chiederti di eseguire periodicamente nuovi test del tuo sito.
Tutto sommato, non è economico o facile da rispettare per PCI-DSS. Potrebbe essere più saggio lasciare che le società di elaborazione dei pagamenti gestiscano questo onere e concentrarsi su una migliore esperienza online per i tuoi clienti.
Leggi altre domande sui tag pci-dss