Attenzione, la risposta qui di seguito è stata estratta da sistemi di aiuto automatici. Per una risposta più esaustiva si consiglia di contattare il proprio consulente.
Secondo le attuali normative è necessaria la certificazione PCI DSS per legge per tutte le aziende?
La risposta breve è no, la certificazione PCI DSS non è obbligatoria per legge in tutti i casi.
Tuttavia, la conformità ai requisiti PCI DSS è diventata un requisito quasi universale per le aziende che accettano pagamenti con carta di credito.
Ecco alcune precisazioni:
- Le principali società emittenti di carte di credito (Visa, Mastercard, American Express, Discover e JCB) richiedono ai propri commercianti di conformarsi agli standard PCI DSS. Se un commerciante non rispetta questi requisiti, rischia di non poter più accettare pagamenti con carta di credito.
- In alcuni paesi, esistono leggi specifiche che richiedono la conformità PCI DSS. Ad esempio, in Italia, il Codice della Privacy impone a tutte le aziende che trattano dati personali di adottare misure di sicurezza adeguate per proteggere tali dati. La conformità PCI DSS può essere considerata una valida dimostrazione dell’adozione di misure di sicurezza adeguate.
- Anche se non esiste una legge specifica che impone la certificazione PCI DSS in tutti i casi, le aziende che non rispettano questi standard potrebbero comunque incorrere in sanzioni o azioni legali in caso di violazione dei dati.
Per questi motivi, è altamente consigliabile per tutte le aziende che gestiscono dati di carte di credito di conformarsi agli standard PCI DSS, anche se non è obbligatorio per legge.
Ma la domanda è: tu richiedi direttamente i numeri della carta di credito o utilizzi sistemi che processano i pagamenti esterni alla tua azienda?
Se il tuo sito di e-commerce accetta pagamenti con carta tramite una piattaforma esterna, la necessità di ottenere la certificazione PCI DSS dipende da alcuni fattori:
- Livello di coinvolgimento del tuo sito nel processo di pagamento:
Per capire il tuo livello di coinvolgimento c’è da capire se il cliente fa un pagamento diretto o meno. Il diretto è quando tu vieni a conoscenza dei dati della carta di credito, tramite una piattaforma esterna è invece quando i dati non vengono memorizzati.
Pagamento diretto: Se il sito gestisce direttamente i dati della carta di credito (se chiedi i dati delle carte e gli stessi vengono memorizzati in un database locale o remoto), in questo caso sei obbligato a conformarti allo standard PCI DSS e dovresti ottenere la relativa certificazione.
Pagamento tramite piattaforma esterna: Se invece il processo di pagamento avviene interamente su una piattaforma esterna certificata PCI DSS (ad esempio, PayPal, Stripe, Nexi), potresti non essere obbligato a ottenere la certificazione. - Volume di transazioni con carta di credito:
PCI DSS Livello 1: Richiede la certificazione per i commercianti che processano più di 6 milioni di transazioni con carta all’anno.
PCI DSS Livello 2: Richiede la validazione annuale per i commercianti che processano tra 1 milione e 6 milioni di transazioni con carta all’anno.
PCI DSS Livello 3 e 4: Richiede la compilazione di un questionario di autovalutazione per i commercianti che processano meno di 1 milione di transazioni con carta all’anno. - Requisiti specifici del tuo fornitore di servizi di pagamento:
Alcune piattaforme di pagamento esterne potrebbero richiedere la conformità PCI DSS ai loro partner, anche se non è obbligatoria per legge.
Ecco alcune risorse che possono essere utili:
- Sito ufficiale PCI DSS: https://www.pcisecuritystandards.org/
- Una guida alla conformità PCI DSS: https://www.metacompliance.com/
- FAQ sulla conformità PCI DSS: https://www.pcisecuritystandards.org/faqs/
- Hai un sito con Woocommerce e vuoi informazioni su PCI DSS? Leggi qui https://woocommerce.com/document/pci-dss-compliance-and-woocommerce/
In caso di dubbi specifici sulla propria situazione, è consigliabile consultare un esperto legale o un professionista della sicurezza informatica.