Showing posts with label Compliance. Show all posts
Showing posts with label Compliance. Show all posts

Friday, April 6, 2012

La sicurezza dei circuiti di pagamento con carte di credito

Links to this post

Per quale motivo 1 milione e mezzo circa di persone che nel corso degli ultimi 12 mesi hanno preso un taxi a New York, dovrebbero preoccuparsi di un furto di dati riguardante una società di Atlanta chiamata Global Payment ? 

Il motivo è che quella società conservava, nei server del proprio data center di Louisville nello stato del Kentucky, i dati delle carte di credito VISA o MASTERCARD che quelle persone avevano utilizzato per pagare. 

Il rischio per tutti loro è di essere soggetti ad una frode, cosa resa ancora più probabile dal fatto che, come dichiarato da Global Payment, l’incidente si sarebbe verificato parecchie settimane prima rispetto al momento in cui è stato identificato e reso noto a VISA. 

E difatti, nel momento in cui la notizia è stata comunicata anche al pubblico, sarebbero già circa un migliaio le carte per le quali era stata certamente identificata un’attività fraudolenta in corso, realizzata attraverso la contraffazione della carta originale. 

Fortunatamente il consumatore attento in questo caso non dovrebbe fare le spese dell’altrui incapacità, in quanto tutelato dalle normative di legge. E difatti è buona regola controllare periodicamente i rendiconti relativi alle operazioni effettuate con le proprie carte di credito al fine di identificare tempestivamente la presenza di addebiti illeciti e comunicarli all’ente che aveva rilasciato la carta per ottenerne il rimborso. In questo specifico caso il rimborso dovrebbe essere garantito dal fatto che Visa ha comunicato agli emittenti delle carte la possibilità di frodi per le numerazioni coinvolte nell’incidente occorso a Global Payment. 

Dalla descrizione di questo evento emerge chiaramente la numerosità degli attori coinvolti nella gestione delle carte di credito e dei pagamenti effettuati. 

In primis il negozio (attore n.1) in cui effettuiamo la transazione con la carta per pagare il nostro acquisto. 

Il negoziante per rendere disponibile il servizio di pagamento con carta ai propri clienti, necessita di essere collegato ad uno dei circuiti di pagamento. Per questo ha dovuto realizzare un accordo con una sorta di intermediario (attore n. 2). L’intermediario (detto anche acquirer o third party processor) tipicamente si occupa anche della vendita o del noleggio dei terminali POS che il negoziante ha utilizzato per leggere la nostra carta, oltre che della rendicontazione dei pagamenti e delle eventuali dispute. Per tornare al nostro caso, Global Payment agisce come intermediario per le società di taxi di New York, alla pari ad esempio di quanto fa il conosciutissimo PayPal per gli utenti di Ebay. 

Il circuito di pagamento (attore n. 3) riceve i dati della nostra transazione per via dell’intermediario. Visa e Mastercard sono 2 dei principali circuiti mondiali (altri ben noti sono American Express e Diners) 

Le aziende che fanno parte del circuito di pagamento naturalmente dialogano con un ulteriore attore, che arrivo ad indicare per ultimo pur essendo il primo della catena, ovvero la banca (attore n. 4) che ci ha rilasciato la carta di credito previa sottoscrizione di un contratto. 

Tutti gli attori della catena dovrebbero proteggere la sicurezza e la privacy delle informazioni finanziarie dei propri clienti adottando le misure di protezione dei dati che sono previste dagli standard di riferimento. 

Ma è sufficiente essere certificati rispetto ad uno standard per garantire i necessari livelli di “sicurezza” ? Come consumatore posso confidare che il trattamento dei dati associati alla mia carta avverrà nel rispetto delle più stringenti misure di sicurezza e privacy se le aziende che li gestiscono sono certificate rispetto agli standard del settore ?

Per esperienza posso dire che non è così, ed altrettanto lo si potrebbe affermare facendo riferimento al nostro caso. Difatti Global Payment risulta certificato PCI (Payment Card Industry) che è lo standard di riferimento nell’ambito dei servizi finanziari e ciò nonostante ...

Molte aziende purtroppo confondono compliance per sicurezza 

Le aziende dovrebbero invece adottare le misure di sicurezza previste dagli standard di riferimento più significativi per il proprio settore, per integrarle all’interno di un modello di gestione dei rischi informatici che deriva da un’analisi completa delle minacce e dei potenziali impatti sul proprio business. 

Inoltre un’altra linea guida è fondamentale: essere in grado di controllare il mantenimento dei livelli di conformità alle normative o alle policy aziendali nel corso del tempo. 

In sintesi un modello di Policy Compliance Management è un pilastro fondamentale per una governace efficace della sicurezza all’interno di un’azienda. Altrimenti troppe volte ci troveremo a tentare di chiudere il recinto dopo che i buoi sono scappati, come sta succedendo ora con Global Payment per la quale è prevista un’investigazione forensics per determinare se essa sia effettivamente oggigiorno compliance allo standard PCI.

E per i consumatori ? Alcuni consigli. 

Al momento della sottoscrizione della carta è bene assicurarsi che la banca emittitrice o il circuito di pagamento prevedano il rimborso delle spese di cui non si riconosce la legittimità. 

Come detto in precedenza è bene controllare regolarmente l'estratto conto per verificare che non ci siano anomalie ed eventualmente richiedere il blocco della carta.

Negli acquisti online prima di mettere il numero della carta di credito verificare 2 cose: che la connessione sia in https in modo tale che i dati scambiati risultano cifrati, e che sia autentico il certificato associato al sito al fine di avere l'assolutata garanzia dell'autenticità dei sito con il quale si sta effettuando lo scambio di dati.
. 
Questa è una procedura abbastanza semplice da fare esaminando le proprietà che si ottengono in evidenza cliccando sul lucchetto che compare nella finestra del browser che state utilizzando. La verifica di tali proprietà andrebbe inoltre complementata con la verifica che nella barra degli indirizzi mostrata dal browser compare proprio il dominio web dell'ente contattato.

AGGIORNAMENTO 4 MAGGIO 2011:
Il Wall Street Journal ha pubblicato un articolo (clicca qui) nel quale si afferma che il numero di carte di credito a rischio di frodi a seguito di questo incidente sarebbero 7 Milioni e non "soltanto" 1 Milione e mezzo.