La Payment Card Industry (PCI) ha definito dei requisiti di sicurezza per i sistemi informativi dei merchant che trattano determinati dati relativi alle transazioni con carta di credito. Si tratta del “famoso” Data Security Standard”, il PCI-DSS. Si tratta di una serie di requisiti che, a leggere lo standard, non mi sembrano tanto pesanti, ma comunque si tratta certamente di una conformità da rispettare e quindi di un costo per i merchant. La National Retail Federation ha mandato una lettera a PCI nella quale sostanzialmente dicono: “A noi non serve conservare quei dati, ci bastano il codice di autorizzazione e una parziale ricevuta per avere una prova dell’approvazione e una prova dell’acquisto; conserviamo i dati della transazione solo perché è richiesto contrattualmente. Se i dati se li tenessero le società che gestiscono le carte di credito, i dati sarebbero in pochi posti più facili da controllare e noi non avremmo oneri”. La proposta è interessante perché anziché cercare di proteggere a tutti i costi le procedure esistenti, propone una modifica non solo alle procedure, ma addirittura ai contratti e ai rapporti fra card companies e merchant. In molti casi, se i problemi di sicurezza potessero essere affrontati in questo modo si risolverebbero molto meglio. Tuttavia, mentre la soluzione proposta eviterebbe la conservazione di dati presso il merchant, temo che non ne eviterebbe la raccolta, e quindi in definitiva eviterebbe che compromissioni estemporanee mettano a rischio migliaia di record, ma compromissioni di lunga durata potrebbero portare alla raccolta nel tempo di quantità paragonabili di dati.
-
Qui sopra il lago di Soraga, Val di Fassa (Trentino, Italia)
Questo sito ospita pensieri e considerazioni personali, che possono o meno essere collegati alle mie competenze professionali. Per contatti professionali potete fare riferimento al mio profilo Linkedin o al sito di Partners4Innovation
Rapporto Clusit 2021
