PCI DSS per Hospitality

Implementazione di una soluzione conforme a PCI DSS per il trattamento dei dati delle carte di credito, studiato per le realtà del settore alberghiero a tutela dell’immagine della struttura stessa nei confronti dei propri ospiti.
Maggiori Informazioni
Contattaci
Se desideri ricevere maggiori informazioni sulla soluzione descritta contattaci con il modulo che trovi qui sotto. La tua richiesta verrà inoltrata direttamente all’esperto che si occupa dell’area o della soluzione interessata e ti ricontatterà al più presto.Contattaci
Maggiori Dettagli
Il PCI DSS (Payment Card Industry, Data Security Standard) è un insieme di linee guida per la protezione dei dati nei processi di pagamento con carta, che comprendono la prevenzione, intercettazione e adeguate contromisure in caso di incidenti. Nel settore alberghiero il problema della conservazione dei dati di carta è più che mai vivo. I numeri vengono trattati con sistemi come FAX, e-mail o telefono, e talvolta salvati all'interno dei sistemi interni (PMS). Tutti questi metodi di trasmissione, la conservazione delle informazioni e il loro "smaltimento" espongono le strutture al rischio di divulgazione di dati sensibili, con i conseguenti problemi per l'ospite e l'immagine della struttura stessa.
In tal contesto acquisire una certificazione PCI DSS (o un livello di conformità alla medesima) potrebbe essere un modo per evitare problemi anche di elevato impatto (come il "ban" dal circuito o sanzioni economiche), avendo anche definito una procedura chiara da seguire in caso di incidente.
La nostra proposta
Abbiamo strutturato una proposta contrattuale che risponde a tutti i requisiti tecnici della normativa PCI DSS, offrendo una soluzione che integra la messa in opera di un'infrastruttura minima che risponde a suddetti requisiti, la manutenzione ordinaria dei sistemi, la revisione periodica dei medesimi per conformità e la documentazione dell'infrastruttura con annesse le procedure di gestione, revisione ed aggiornamento.
Ne deriva una soluzione che, nel rispetto delle linee guida per la sicurezza dei dati di carta, comprende l'implementazione di:
- Antivirus con sistema di tracciamento registri
- Backup delle postazioni di lavoro (NAS) con crittografia dei contenuti
- Firewall con sistema di raccolta registri e report
- Servizio di posta elettronica cifrata
- Soluzione di archiviazione elettronica dei dati di carta1
Nell'ottica di non aggravare il peso del lavoro degli utenti, la soluzione proposta è stata semplificata per essere utilizzata con strumenti di uso comune ed interfacce semplificate nelle applicazioni installate ad-hoc, mentre strumenti di monitoraggio proattivo dei sistemi ne mantengono costantemente sorvegliato lo stato. Così facendo in caso si verificasse un problema, un tecnico specializzato può intervenire in caso di necessità in modo mirato e, talvolta, prima che il problema possa bloccare il regolare funzionamento della struttura.
Composizione del servizio
Il contratto si sviluppa in funzione delle esigenze della struttura, che possono essere aggiunte nel tempo anche per ottimizzare gli investimenti e non gravare sul budget a disposizione. Il servizio si compone di un servizio di ingresso che comprende:
- Valutazione generale dello stato del sistema e stesura documentazione iniziale
- Installazione del Firewall e del sistema di raccolta dei registri e configurazione dei report mensili
- Riorganizzazione della rete secondo le linee guida previste
- Valutazione dei rischi a seguito delle opere di networking
La seconda parte del servizio comprende un contratto di manutenzione ordinaria di durata annua che prevede l'accesso ai seguenti interventi:
- Pulizia delle Postazioni di Lavoro e verifica aggiornamenti antivirus e dei sistemi operativi (mensile)
- Revisione delle procedure di backup, prove di ripristino dati, verifica dei registri dei sistemi, aggiornamento dei dispositivi di rete (trimestrale)
- Valutazione della conformità delle Postazioni di Lavoro, dell'intera rete alle vulnerabilità con software preposti, revisione della documentazione interna e rilascio del documento aggiornato alla struttura (semestrale).
A corollario della suddetta soluzione possiamo anche offrire soluzioni addizionali come:
- Soluzione antivirus con gestione centralizzata e produzione di report periodici per revisione
- Fornitura ed installazione di dispositivi di archiviazione di rete (NAS) per l'esecuzione di backup dei dati e delle PdL
- Installazione di un sistema di posta elettronica con trasmissione ed archiviazione cifrata delle informazioni
- Fornitura di un software per la conservazione e trattamento dei dati di carta di credito (FAX, e-mail, ecc. - sperimentale e sviluppato internamente)
Il costo del servizio annuo è basato sul numero complessivo delle postazioni di lavoro facenti parte della rete della struttura e utilizzati per la regolare operatività. Sono esclusi da questo conteggio le postazioni collegate a reti WiFi per ospiti o nelle reception.
Informazioni aggiuntive
Come tutte le soluzioni da noi sviluppate, le caratteristiche e performance sono soggette a cambiamento in funzione delle richieste dei Clienti di quel determinato segmento. Accettiamo suggerimenti, consigli e feedback per rendere sempre migliore il nostro servizio e le soluzioni che implementiamo.
Qualora la struttura volesse procedere per ottenere la certificazione PCI DSS metteremo in contatto la medesima con enti di certificazione preposti che potranno procedere con le pratiche finali necessarie al suo conseguimento.
1: questa funzionalità è in via di sviluppo e sarà disponibile a breve.