Conformità alle norme PCI in Nuova Zelanda: requisiti, considerazioni e best practice

Connect
Connect

Le piattaforme e i marketplace di maggior successo al mondo, tra cui Shopify e DoorDash, utilizzano Stripe Connect per integrare i pagamenti nei loro prodotti.

Ulteriori informazioni 
  1. Introduzione
  2. Punti salienti
  3. Che cos’è la conformità alle norme PCI in Nuova Zelanda?
  4. Perché la conformità alle norme PCI è importante per le attività neozelandesi?
  5. Come funziona la conformità alle norme PCI?
  6. Quali sono i requisiti di conformità alle norme PCI per le attività neozelandesi?
    1. 1. Creare e gestire una rete sicura
    2. 2. Proteggere i dati degli account
    3. 3. Gestire un programma di gestione delle vulnerabilità
    4. 4. Implementare misure avanzate di controllo degli accessi
    5. 5. Monitorare e testare le reti
    6. 6. Gestire una policy di sicurezza delle informazioni
  7. Quali sfide affrontano le attività neozelandesi con la conformità alle norme PCI?
    1. Ambito più grande del previsto
    2. Infrastruttura ereditata
    3. Fraintendimento di ciò che copre l’esternalizzazione
    4. Turnover del personale e lacune di formazione
    5. Il problema della selezione dell’SAQ
  8. Come possono le aziende neozelandesi garantire la conformità alle norme PCI?
    1. Utilizza un fornitore di servizi di pagamento che tenga i dati delle carte fuori dai tuoi sistemi
    2. Mappa prima i flussi di dati
    3. Ottieni l’SAQ corretto
    4. Tratta seriamente i test di penetrazione
    5. Assegna una chiara titolarità interna
    6. Includi la raccolta delle prove nelle tue operazioni
  9. In che modo Stripe Connect può essere d’aiuto

Le perdite dovute a truffe e frodi con carta hanno totalizzato 194 milioni di dollari neozelandesi (NZD) nel 2024 e continuano ad aumentare. Sebbene non sia richiesto dalla legge neozelandese, le attività che accettano cardpayments nel Paese sono tenute a essere conformi allo standard PCI DSS (Payment Card Industry Data Security Standard). I circuiti delle carte di credito impongono la compliance tramite accordi con l'esercente. Non essere conformi può comportare sanzioni, costi di transazione più elevati o persino la perdita della possibilità di accettare cardpayments.

Di seguito, illustreremo i requisiti PCI DSS, le sfide di compliance più comuni che le attività neozelandesi affrontano e come raggiungere la compliance con successo.

Punti salienti

  • La compliance PCI DSS è imposta tramite accordi con l'esercente stipulati con i circuiti delle carte di credito e le banche acquirenti piuttosto che dalla legge neozelandese. Tuttavia, le conseguenze finanziarie e operative della mancata compliance sono notevoli.

  • L'ambito dei tuoi obblighi di compliance dipende dalla quantità di dati del titolare della carta gestiti dai tuoi sistemi. Puoi semplificare la procedura di compliance riducendo la tua esposizione.

  • La scelta del questionario di autovalutazione (SAQ) giusto e l'assegnazione di chiare responsabilità interne sono due delle decisioni più importanti che incidono sul successo in termini di compliance di un'attività neozelandese.

Che cos'è la conformità alle norme PCI in Nuova Zelanda?

La conformità alle norme PCI significa soddisfare i requisiti globali PCI DSS in materia di reti sicure, dati del titolare della carta e sicurezza delle informazioni e del controllo degli accessi. Queste misure devono essere seguite da tutte le aziende che gestiscono i dati dei titolari di carta, da un bar che accetta pagamenti contactless a un'azienda di software che addebita abbonamenti a livello globale.

Perché la conformità alle norme PCI è importante per le attività neozelandesi?

Le perdite dovute alle frodi con carta in Nuova Zelanda ammontano a centinaia di milioni di dollari all'anno. La conformità aiuta a proteggere i dati del titolare della carta e a ridurre il rischio di frode.

Le conseguenze della mancata conformità rientrano in alcune categorie:

  • Multe: i circuiti di pagamento e le banche acquirenti possono imporre delle multe. L'importo può variare da centinaia a centinaia di migliaia di dollari, a seconda della gravità della violazione.

  • Aumento dei costi di transazione: le banche acquirenti possono spostare le attività non conformi a livelli di commissioni interbancarie più elevati.

  • Responsabilità per le perdite dovute a frodi: in caso di violazione, se non eri conforme in quel momento, potresti essere ritenuto responsabile dalla tua assicurazione e dalla banca acquirente per il costo delle transazioni fraudolente, della sostituzione delle carte e delle indagini forensi.

  • Revoca dell'accettazione delle carte: nei casi più gravi, le banche acquirenti o gli elaboratori possono revocare la tua capacità di accettare pagamenti con carta.

Esiste anche un danno d'immagine. Il Privacy Act 2020 della Nuova Zelanda impone alle attività di informare le persone interessate e il Garante della privacy dopo una violazione della privacy che causa gravi danni.

Come funziona la conformità alle norme PCI?

Lo standard PCI DSS organizza i suoi requisiti attorno all'ambiente dei dati dei titolari di carta (CDE), che comprende i sistemi, le persone e i processi che archiviano, elaborano o trasmettono i dati dei titolari di carta. L'ambito dei tuoi obblighi di conformità dipende in gran parte dalle dimensioni e dalla forma del tuo CDE.

Lo standard attuale è il PCI DSS 4.x, pubblicato dal Security Standards Council nel marzo 2022 con una scadenza di transizione che l'ha resa l'unica versione attiva a partire da marzo 2024. La versione 4.0 ha introdotto modifiche più importanti che offrono maggiore flessibilità nel modo in cui le attività possono soddisfare determinati requisiti. Da allora sono stati rilasciati aggiornamenti minori, ma i principi principali rimangono gli stessi. La conformità viene convalidata tramite questionari di autovalutazione o audit formali da parte di un valutatore della sicurezza qualificato (QSA). Dipende anche dal volume delle tue transazioni e da come gestisci i dati delle carte:

  • SAQ A: in genere il percorso più semplice, si applica alle attività che hanno esternalizzato completamente l'elaborazione delle carte e non toccano direttamente i dati del titolare della carta.

  • SAQ A-EP: in genere si applica se utilizzi una pagina di pagamento di terze parti, ma il tuo sito web gestisce il reindirizzamento.

  • SAQ D: il percorso più completo, l'SAQ D si applica alle attività che archiviano i dati del titolare della carta o li elaborano in modi che non rientrano in una categoria più semplice.

  • Esercenti di livello 1: gli esercenti di livello 1, come quelli che elaborano oltre 6 milioni di transazioni Visa o Mastercard all'anno, devono inviare un report sulla conformità (ROC) redatto da un QSA.

Molte piccole e medie imprese neozelandesi si qualificheranno per uno dei percorsi SAQ. La scelta dipende in gran parte dal tuo modello di integrazione dei pagamenti.

Quali sono i requisiti di conformità alle norme PCI per le attività neozelandesi?

Lo standard PCI DSS contiene 12 requisiti fondamentali. Tali requisiti sono raggruppati in sei obiettivi di controllo:

1. Creare e gestire una rete sicura

Installa e mantieni i controlli di sicurezza della rete. Questa è la base per una conformità efficace.

2. Proteggere i dati degli account

Usa una crittografia avanzata per proteggere i dati del titolare della carta salvati. Non salvare mai il codice di verifica della carta dopo l'autorizzazione e assicurati che la trasmissione dei dati del titolare della carta sia crittografata su reti aperte e pubbliche.

3. Gestire un programma di gestione delle vulnerabilità

Proteggi i sistemi dal malware e sviluppa software e sistemi sicuri. Ciò include pianificazioni di patch, scansione delle vulnerabilità e test di sicurezza delle applicazioni.

4. Implementare misure avanzate di controllo degli accessi

L'accesso ai dati del titolare della carta deve avvenire con limitazioni e solo in caso di effettiva necessità. Identifica e autentica ogni utente con credenziali univoche e limita fisicamente l'accesso ai sistemi in cui vengono salvati o elaborati i dati del titolare della carta.

5. Monitorare e testare le reti

Monitora e registra tutti gli accessi alle risorse di rete e ai dati del titolare della carta. Testa regolarmente i sistemi di sicurezza e le procedure. Esegui scansioni delle vulnerabilità e penetration test in diversi ambienti.

6. Gestire una policy di sicurezza delle informazioni

Gestisci una policy che copra la sicurezza delle informazioni per tutto il personale e includa la formazione e responsabilità chiare.

Alcuni di questi requisiti possono diventare responsabilità del fornitore, a condizione che l'attività neozelandese abbia integrato correttamente la propria soluzione di pagamento online o pagamento di persona.

Quali sfide affrontano le attività neozelandesi con la conformità alle norme PCI?

Diventare conformi alle norme PCI può mettere in difficoltà le aziende neozelandesi in modi prevedibili. Una volta che si ha visibilità su dove le cose vanno storte, la conformità diventa gestibile.

Ambito più grande del previsto

Un problema di conformità comune è sottostimare l'ambito del CDE. Qualsiasi sistema collegato al tuo CDE, che tu ne sia a conoscenza o meno, rientra nei requisiti PCI DSS. Le attività potrebbero scoprire che il loro CDE è molto più grande di quanto pensassero una volta che iniziano a mappare i flussi di dati.

Infrastruttura ereditata

Molte attività in Nuova Zelanda potrebbero utilizzare hardware per soluzioni POS obsoleti e software on-premise non progettati per PCI DSS 4.0. L'aggiornamento può essere costoso e di disturbo. Mantenere la conformità con i sistemi legacy può significare maggiore complessità.

Fraintendimento di ciò che copre l'esternalizzazione

L'utilizzo di un fornitore di servizi di pagamento conforme alle norme PCI non rende automaticamente la tua attività conforme. Ad esempio, il tuo sito web potrebbe presentare una vulnerabilità che consente a un utente malintenzionato di intercettare i dati della carta prima che raggiungano il modulo di pagamento del provider, e quella violazione diventa un tuo problema. Il confine tra la tua responsabilità e quella del fornitore deve essere chiaramente definito.

Turnover del personale e lacune di formazione

Il PCI DSS richiede una formazione sulla consapevolezza della sicurezza per tutto il personale che interagisce con i dati del titolare della carta. Può essere difficile mantenere aggiornata la formazione in settori con un elevato turnover.

Il problema della selezione dell'SAQ

Assicurati di scegliere l'SAQ corretto. Un'azienda che ritiene di essere idonea per l'SAQ A, ma in realtà ha mantenuto un certo coinvolgimento nell'elaborazione dei dati del titolare della carta, potrebbe sottostimare in modo sostanziale i propri obblighi di conformità.

Come possono le aziende neozelandesi garantire la conformità alle norme PCI?

Un buon modo per ridurre l'onere della conformità è ridurre il tuo ambiente di elaborazione dei dati dei titolari di carta.

Prendi in considerazione i seguenti approcci:

Utilizza un fornitore di servizi di pagamento che tenga i dati delle carte fuori dai tuoi sistemi

I fornitori di servizi di pagamento come Stripe che utilizzano la tokenizzazione e i campi di pagamento in hosting raccolgono i dati delle carte direttamente nel loro ambiente, in modo che i tuoi server non ricevano numeri di carta grezzi. In combinazione con la certificazione di fornitore di servizi PCI di livello 1, questo può semplificare i percorsi di conformità di molte attività.

Mappa prima i flussi di dati

Non puoi definire l'ambito di una valutazione PCI senza sapere dove vanno i dati dei titolari di carta. Mappa rigorosamente ogni sistema che potrebbe toccare i dati delle carte. Quindi, ogni volta che aggiungi una nuova integrazione, aggiorni il tuo flusso di checkout o modifichi il tuo sistema di gestione delle relazioni con i clienti (CRM), aggiorna anche la mappa.

Ottieni l'SAQ corretto

Parla con la tua banca acquirente o con un QSA prima di selezionare il tuo SAQ. I circuiti delle carte di credito pubblicano i criteri di idoneità all'SAQ e la decisione giusta non è sempre ovvia. Se all'inizio scegli in modo errato, ogni successiva decisione sulla conformità aggrava l'errore.

Tratta seriamente i test di penetrazione

I test di penetrazione hanno un impatto sostanziale sul successo della tua conformità. Un test genuino del tuo CDE, comprese le pagine di pagamento, i meccanismi di autenticazione e la segmentazione della rete interna, può far emergere vulnerabilità che la scansione automatizzata non rileva.

Assegna una chiara titolarità interna

La conformità alle norme PCI può finire nel dimenticatoio quando si presume che qualcuno se ne stia occupando, come l'IT, il tuo CFO o chiunque abbia originariamente configurato il sistema di pagamento. Ogni requisito deve essere assegnato a una persona designata.

Includi la raccolta delle prove nelle tue operazioni

I valutatori richiedono prove. Le scansioni delle vulnerabilità, i log di accesso, i record di completamento della formazione e le cronologie delle patch devono esistere ed essere recuperabili. Integrare questa documentazione nelle normali operazioni è molto meno faticoso che doverla ricostruire prima di una valutazione.

In che modo Stripe Connect può essere d'aiuto

Stripe Connect coordina i trasferimenti di denaro tra più parti nelle piattaforme software e nei marketplace. Offre una rapida attivazione, componenti integrati, bonifici globali e molto altro.

Connect può aiutarti a:

  • Effettuare il lancio in poche settimane: usa funzionalità in hosting o integrate di Stripe per attivare il servizio ancora più rapidamente ed evitare i costi anticipati e i tempi di sviluppo solitamente necessari per la facilitazione dei pagamenti.

  • Gestire i pagamenti in modo scalabile: usa gli strumenti e i servizi di Stripe in modo da non dover impegnare risorse aggiuntive per la rendicontazione dei margini, i moduli fiscali, la gestione del rischio, i metodi di pagamento globali o la conformità all'attivazione.

  • Crescere a livello globale: aiuta gli utenti a raggiungere un maggior numero di clienti in tutto il mondo utilizzando metodi di pagamento locali e calcolando facilmente le imposte sulle vendite, l'IVA e la GST.

  • Sviluppare nuove fonti di ricavo: ottimizza i ricavi dei pagamenti riscuotendo le commissioni su ogni transazione. Monetizza le funzionalità di Stripe abilitando sulla tua piattaforma: pagamenti di persona, bonifici istantanei, riscossione dell'imposta sulle vendite, finanziamenti, carte di pagamento per i dipendenti e altro ancora.

Scopri di più su Stripe Connect, o inizia oggi stesso.

I contenuti di questo articolo hanno uno scopo puramente informativo e formativo e non devono essere intesi come consulenza legale o fiscale. Stripe non garantisce l'accuratezza, la completezza, l'adeguatezza o l'attualità delle informazioni contenute nell'articolo. Per assistenza sulla tua situazione specifica, rivolgiti a un avvocato o a un commercialista competente e abilitato all'esercizio della professione nella tua giurisdizione.

Altri articoli

  • Sì è verificato un problema. Riprova o contatta l'assistenza di Stripe.

Tutto pronto per iniziare?

Crea un account e inizia ad accettare pagamenti senza la necessità di stipulare contratti o di comunicare le tue coordinate bancarie. In alternativa, contattaci per progettare un pacchetto personalizzato per la tua attività.
Connect

Connect

Riduci il tempo di attivazione da mesi a poche settimane, crea un sistema di pagamento redditizio e fai crescere la tua attività.

Documentazione di Connect

Scopri come instradare i pagamenti tra più parti.