Dispositivo PCI approvato, è importante che il mio POS sia compatibile con PCI se trasmette solo le informazioni al gateway e non memorizza i dati della carta crittografata?

Sul sito Web di PCI Security Standard a cui fai riferimento puoi trovare questo video che riassume i punti To Point Encryption (P2PE) per le piccole imprese (supponendo che tu sia una piccola azienda).

L'essenza del video è che siccome P2PE crittografa i dati sensibili delle carte e che tu, come commerciante, non hai accesso ad essi, i tuoi sistemi sono esclusi dai requisiti di protezione dei dati delle carte durante un audit PCI-DSS. Piuttosto, l'onere di proteggere specificamente i dati del titolare della carta si sposta al fornitore di servizi P2PE. Spetta al fornitore di servizi ottenere la propria certificazione della soluzione P2PE fornita. Apparentemente, questo astrae il costo e lo sforzo di proteggere i dati se sei un commerciante.

È allettante pensare che ciò ti assolva dalla conformità PCI-DSS, ma il video termina con l'avvertenza che tu come commerciante sono ancora vincolati da PCI-DSS. Questo perché PCI-DSS non si limita a proteggere solo i dati sensibili delle carte. È inoltre necessario proteggere l'ambiente in cui avviene la transazione. Ad esempio, probabilmente non riuscirai ad eseguire un controllo PCI-DSS se non utilizzi password sui tuoi sistemi POS perché chiunque potrebbe venire a sovvertire la soluzione P2PE. O aprire connessioni di rete non protette. O semplicemente rompere l'implementazione P2PE per negare transazioni legittime (un attacco DoS che contravviene anche a PCI-DSS).

Avere una soluzione P2PE implementata sul tuo POS significa che è più probabile che un commerciante sia certificato come conforme allo standard PCI-DSS perché sei quindi esentato dalla protezione dei dati del titolare della carta. Ma PCI-DSS non riguarda solo la protezione dei dati, ma protegge la transazione stessa e tutte le parti coinvolte nella transazione.