Carte di credito in tutta sicurezza per gli hotel

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Carte di credito in tutta sicurezza per gli hotel"

Transcript

1 Carte di credito in tutta sicurezza per gli hotel PCI DSS quale fattore di sicurezza duraturo per l'attività ConCardis GmbH Helfmann-Park Eschborn

2 Sommario 1. Obiettivo degli attacchi: informazioni delle carte di credito A cosa serve lo standard PCI DSS? A cosa mirano i criminali? L'iter per la conformità PCI DSS Da dove si parte? Perché è importante la dimostrazione della propria conformità PCI DSS? Dimostrazione della conformità PCI DSS tramite questionari di autovalutazione La scelta del SAQ corretto Importanti indicazioni integrative per la scelta del modulo SAQ corretto Misure per la PCI DSS Compliance per gli hotel (SAQ B) Campo di applicazione Accesso alle informazioni delle carte di credito Gestione delle Gestione di stampe e ricevute cartacee Il terminale di pagamento Documenti di sicurezza Sicurezza duratura per i dati delle carte di credito Allegato A: Lista di controllo SAQ B Allegato B: Lista di controllo Settori di trattamento delle carte di credito Misure per la PCI DSS Compliance per gli hotel (SAQ B-IP) Campo di applicazione Accesso alle informazioni delle carte di credito ASV SCAN Gestione delle Gestione di stampe e ricevute cartacee Documenti di sicurezza Allegato C: Lista di controllo SAQ B-IP Allegato D: Lista di controllo Settori di trattamento delle carte di credito /25

3 1. Obiettivo degli attacchi: informazioni delle carte di credito 1.1. A cosa serve lo standard PCI DSS? I dati delle carte di credito sono un obiettivo molto ambito dai criminali. Specialmente nelle piccole aziende, tali dati sono una preda facile che può essere convertita in denaro con relativamente poche complicazioni. Nello specifico, spesso è proprio il settore alberghiero a essere vittima del furto dei dati delle carte di credito. Che si tratti di hacker professionali o di impiegati malintenzionati, i criminali sono generalmente molto ben organizzati e il commercio delle informazioni rubate è florido. Nel caso in cui venga scoperto un furto di informazioni delle carte di credito, ciò richiede per prima cosa indagini onerose, cui seguono richieste di risarcimento danni e sanzioni. Infine, la pubblicazione dell'evento sulla stampa crea un danno d'immagine praticamente irreparabile. La fiducia dei clienti viene meno e l'attività commerciale subisce un danno a lungo termine. Per far fronte a questo problema, le principali società di carte di credito si sono alleate fondando il Payment Card Industry Security Standards Council (PCI SSC). Dall'uniformazione delle direttive di sicurezza delle singole società è nato il PCI Data Security Standard (PCI DSS), che pone le basi per una procedura unitaria a tutela dei dati delle carte di credito che comprende misure tecniche e organizzative. In caso di applicazione di tali misure, la loro interazione assicura un minimo di sicurezza alle informazioni delle carte di credito. La dimostrazione della propria conformità allo standard PCI DSS può influenzare notevolmente la questione della responsabilità nel caso in cui sia reso noto un furto di dati. A tal fine è tuttavia necessario dimostrare che al momento dell'incidente erano state applicate e rispettate tutte le misure dello standard PCI. Ad ogni modo, in quanto albergatori si dovrebbe inoltre sempre tenere ben presente il fatto che la sicurezza dei dati delle carte di credito dei propri clienti garantisce la sicurezza della propria fonte di reddito e tutela l'immagine dell azienda. 3/25

4 1.2. A cosa mirano i criminali? I dati delle carte di credito si trovano inizialmente sulla carta stessa sotto forma di firma, sul chip e sulla banda magnetica. La seguente figura illustra la struttura di una tipica carta di credito. 1. Chip 2. Numero della carta (Primary Account Number, PAN) 3. Data di scadenza 4. Nome del titolare della carta 5. Banda magnetica 6. Codice di sicurezza della carta Gli elementi della carta di credito cui ambiscono i criminali sono soprattutto il numero (PAN) e il codice di sicurezza (CVC2/CVV2/ ), così come l'intera banda magnetica, al fine di poter realizzare una copia illegale della carta. Nel fiorente mercato nero delle carte di credito rubate queste informazioni possono essere convertite in denaro con relativa facilità. Il rischio per i criminali è relativamente ridotto: generalmente sono molto ben organizzati e agiscono a livello internazionale. La tracciabilità è praticamente impossibile. Ma a cosa servono le informazioni rubate? Con i numeri delle carte di credito rubati è possibile eseguire senza problemi transazioni di pagamento per le quali la carta non deve essere fisicamente presente, ad esempio nel caso degli acquisti su Internet. Attraverso sofisticati stratagemmi la merce viene poi consegnata o rivenduta mediante degli intermediari. In caso di uso di terminali di pagamenti, sussiste il pericolo che questi vengano manipolati e che la banda magnetica sia quindi "copiata". I dati della banda magnetica vengono in questo caso letti durante il processo di pagamento e trasmessi ai malintenzionati. Questi ultimi possono copiare i dati così ottenuti su una carta di credito in bianco e utilizzarla poi fisicamente per effettuare pagamenti. Le misure PCI DSS affrontano in maniera mirata i possibili punti di attacco e offrono in questo modo uno standard minimo di sicurezza per le informazioni delle carte di credito. 4/25

5 2. L'iter per la conformità PCI DSS 2.1. Da dove si parte? All'inizio è consigliabile scrivere un elenco che contenga luoghi e modalità di trattamento delle informazioni delle carte di credito all'interno dell'hotel. Occorre considerare dove e come le informazioni giungono all'hotel, quale iter seguono al suo interno e come eventualmente vengono trasmesse da quest'ultimo all'esterno. Processo Area Mezzo contenente i dati Trattamento dei dati Il cliente paga il soggiorno con carta di credito e la consegna fisicamente all'addetto alla reception Reception Cartaceo Alla reception la carta viene strisciata sul terminale e poi restituita al cliente conservando una ricevuta che viene riposta in un armadio/cassetto chiuso a chiave Le ricevute raccolte in una giornata alla reception vengono poi consegnate alla contabilità Reception Contabilità Cartaceo Il reparto contabilità prende in consegna le ricevute e verifica l'avvenuto pagamento; successivamente le archivia per la durata prevista per legge (sotto chiave) Allo scadere del termine, un'azienda di servizi ritira le ricevute e le avvia allo smaltimento Contabilità Archivio Cartaceo L'azienda di servizi smaltisce correttamente le ricevute cartacee Sebbene in realtà non sia necessario, un cliente invia una richiesta di prenotazione via con i dati della sua carta di credito Reception Prenotazione Digitale L' viene stampata e cancellata direttamente dalla casella di posta Il vantaggio di un elenco di questo tipo è che offre una panoramica sulle possibili aree a rischio e può fungere al tempo stesso da punto di partenza per le misure da attuare. L'elenco qui riportato non ha alcuna pretesa di completezza ma costituisce unicamente un esempio. Bisogna prestare particolare attenzione ai punti dell'elenco nei quali i dati delle carte di credito sono presenti in forma elettronica (digitale). Le informazioni memorizzate sui computer rappresentano infatti una facile preda per gli hacker, che una volta ottenuto l'accesso alla rete interna dell'hotel possono trafugare dati in grande quantità. Siccome non devono essere fisicamente presenti sul posto, il rischio di essere scoperti è per loro relativamente ridotto. A causa dell'elevato rischio cui sono esposti i dati delle carte di credito in formato digitale, lo standard di sicurezza PCI prescrive ampie misure per proteggerli in modo adeguato. L'entità delle misure da attuare a tutela delle informazioni delle carte di credito e quindi gli oneri per il raggiungimento della conformità PCI DSS possono essere notevolmente ridotti rinunciando ad ogni forma di archiviazione elettronica! Per questo motivo, è necessario chiarire in proposito se le informazioni delle carte di credito devono necessariamente essere memorizzate in forma elettronica o se invece se ne può fare a meno. 5/25

6 Spesso gli hotel ricevono, ad esempio, dai clienti contenenti dati delle carte di credito. Nel caso in cui questi messaggi non vengano prontamente cancellati, ciò costituisce un caso di archiviazione elettronica dei dati. Questo problema può essere aggirato stampando le in questione e trattando i dati solo su carta. Così facendo l' può essere completamente rimossa dal computer subito dopo la stampa. Questa procedura richiede anche lo svuotamento del cestino o della cartella «Posta eliminata» di Outlook. In genere vale che: se l'archiviazione elettronica dei dati delle carte di credito non è necessaria è meglio rinunciarvi! 2.2. Perché è importante la dimostrazione della propria conformità PCI DSS? In molti casi di furto di dati di carte di credito, nel corso delle successive indagini, emerge spesso la mancata attuazione di una o più delle misure PCI DSS richieste. Fra le conseguenze di tale eventualità rientrano fra l'altro richieste di risarcimento danni, sanzioni, danni alla reputazione e quindi perdita di clienti. Un avvenimento di questo tipo può dunque generare notevoli danni e pregiudicare l'attività a lungo termine Dimostrazione della conformità PCI DSS tramite questionari di autovalutazione i questionari di autovalutazione (in inglese: Self-Assessment Questionnaire, SAQ) rappresentano per le piccole aziende una maniera efficiente e fattibile di dimostrare la conformità PCI DSS. I SAQ sono adeguati alle varie esigenze a seconda del modello aziendale. Il questionario deve essere compilato e presentato una volta l'anno. Ciò consente anche di verificare le misure introdotte e/o di reagire a eventuali cambiamenti avvenuti nei processi aziendali, adeguando all'occorrenza la categoria del SAQ La scelta del SAQ corretto Il SAQ corretto per voi dipende dai vostri processi aziendali. Al fine di consentire un'adeguata valutazione del proprio ambiente di lavoro sotto il profilo della conformità PCI DSS, sono state introdotte sette categorie. I criteri distintivi sono indicati nella colonna di destra della seguente tabella. Un decisivo fattore di influenza è l'archiviazione elettronica dei dati delle carte di credito. In questo caso va infatti sempre utilizzato il SAQ della categoria D. Sulla piattaforma PCI DSS ConCardis, che vi offre supporto per affrontare l'iter verso la conformità PCI DSS, potete trovare il SAQ da compilare. Dopo la registrazione, una procedura guidata, vi aiuterà a scegliere correttamente il modulo da utilizzare. Potete registrarvi sulla piattaforma PCI DSS ConCardis mediante il seguente link: https://www.pciplatform.concardis.com/ Tenete presente che ConCardis dovrà avervi precedentemente inviato i dati per il primo accesso. In alternativa potete richiedere a ConCardis il modulo SAQ corretto per voi oppure scaricarlo dal sito web del PCI SSC: https://it.pcisecuritystandards.org/minisite/en/saq-v3.0-documentation.php 6/25

7 Esempio: nel mio hotel vengono impiegati due terminali con collegamento telefonico per il pagamento con carta di credito. Uno si trova alla reception, l'altro nella sala ristorante. I due dispositivi non memorizzano i dati delle carte di credito ma si limitano a generare una ricevuta cartacea all'avvenuto pagamento. Successivamente lavoriamo esclusivamente con tale ricevuta cartacea (contabilità, ecc.). Le contenenti informazioni su carte di credito vengono cancellate, immediatamente dopo la ricezione, dalla cartella della posta in entrata, dal cestino e dalla cartella "Posta eliminata". Ne risulta che bisogna compilare il modulo SAQ di categoria B. Categoria SAQ Estensione Target/Caratteristiche A 14 domande Esternalizzazione di tutte le funzioni relative alle carte di credito Carte di credito fisicamente non presenti (ovvero solo e- commerce e vendite per corrispondenza) A-EP 105 domande Commercianti on-line che hanno affidato tutti i processi di pagamento a un operatore esterno certificato PCI DSS Gestione di un sito che non riceve direttamente dati delle carte ma che può influenzare la sicurezza del processo di pagamento Nessuna archiviazione elettronica dei dati delle carte di credito B 38 domande Per il pagamento con carta di credito vengono impiegati esclusivamente terminali con collegamento telefonico (ISDN o analogico) Nessuna archiviazione elettronica dei dati delle carte di credito (nemmeno del terminale) B-IP 62 domande Eesercenti che utilizzano esclusivamente terminali di pagamento stand-alone certificati PTS con collegamento IP al processor Nessuna archiviazione elettronica dei dati delle carte di credito C-VT 58 domande La gestione del pagamento avviene esclusivamente con terminali virtuali su base web Il computer su cui è impiegato il terminale virtuale non deve essere collegato con nessun altro sistema dell'esercente Nessuna archiviazione elettronica dei dati delle carte di credito C 96 domande Impiego di terminali per carte di credito e/o applicazioni di pagamento connessi a Internet I terminali e le applicazioni di pagamento devono essere collegati solo a Internet e a nessun altro sistema dell'esercente Nessuna archiviazione elettronica dei dati delle carte di credito D 241 domande tutti i casi non contemplati dalle descrizioni per le categorie da A a C Tutti i provider di servizi 7/25

8 2.5. Importanti indicazioni integrative per la scelta del modulo SAQ corretto Succede regolarmente che a causa della mancata conoscenza dettagliata dei requisiti degli standard di sicurezza PCI DSS la scelta del SAQ da compilare non sia ottimale. Spesso viene compilato il modulo di categoria D nonostante lievi modifiche consentirebbero l'inserimento in una categoria diversa. Ciò dipende sostanzialmente da comportamenti sbagliati del personale e dell'infrastruttura attualmente presente, che possono essere facilmente adeguati in maniera da poter applicare un SAQ di categoria inferiore. Il vantaggio sta qui nell'estensione notevolmente minore delle misure di sicurezza da adottare per soddisfare gli standard di sicurezza PCI DSS. Di seguito vengono descritti alcuni scenari frequenti che comportano l'applicabilità del SAQ di categoria D. Brevi consigli operativi per ciascuno di questi scenari possono prevenire la necessità di applicazione del SAQ D, semplificando notevolmente l'iter per ottenere la conformità PCI DSS. Le informazioni delle carte di credito sono disponibili in formato elettronico Spesso capita che i dati delle carte di credito vengano archiviati in formato elettronico in diverse occasioni, ad esempio in file di testo o fogli di calcolo, senza pensare ai rischi che ne derivano. Inoltre, spesso le contenenti informazioni sulle carte di credito non vengono cancellate dalle caselle di posta. Le possono essere stampate ed evase su carta. Se un' viene cancellata subito dopo la stampa (anche dal cestino e dalla cartella "Posta eliminata"), non si configura più un'archiviazione ai sensi dello standard PCI DSS. Se non siete sicuri se sui vostri sistemi siano presenti dati sulle carte di credito in formato elettronico potete utilizzare appositi software per cercarli. Si raccomanda una verifica iniziale dei sistemi presenti. Il vostro fornitore di servizi IT dovrebbe potervi aiutare. Nel caso in cui nel vostro hotel le informazioni sulle carte di credito vengano memorizzate in formato elettronico si applica subito il SAQ! Per questo motivo si ricorda ancora una volta che dovreste evitare qualsiasi forma di archiviazione elettronica dei dati delle carte di credito qualora ciò non sia strettamente necessario! Mancata segmentazione di rete Lo standard di sicurezza PCI DSS richiede una separazione dei sistemi che trattano i dati delle carte di credito e quelli che non necessitano di un accesso a tali informazioni. L'isolamento dei sistemi che trattano dati di carte di credito è un presupposto necessario, specialmente per l'applicabilità del modulo SAQ B-IP. I terminali e le applicazioni di pagamento devono essere collegati solo a Internet e a nessun altro sistema dell'esercente. In questo modo si mira a ridurre il rischio di un furto delle informazioni. L'impiego e l'idonea configurazione di firewall e router può impedire la comunicazione fra i sistemi che elaborano dati delle carte di credito e gli altri sistemi presenti nell'hotel, al fine di ottenere l'auspicata segmentazione. L'obiettivo è impedire l'accesso ai sistemi che trattano i dati da parte di quelli che non li trattano. Il vostro fornitore di servizi IT dovrebbe potervi aiutare nell'attuazione di queste misure. In mancanza di tale isolamento dei sistemi che trattano i dati delle carte di credito è necessario adottare ampie misure di tutela per l'intera rete. Ne deriva la necessità di utilizzare il modulo SAQ D! 8/25

9 Accesso sicuro in caso di manutenzione remota Spesso i fornitori di software offrono ai propri clienti la possibilità di manutenzione remota per risolvere efficientemente eventuali problemi. Un accesso remoto non sufficientemente sicuro comporta un notevole potenziale di rischio e può far sì che un hacker possa trafugare informazioni critiche sotto il profilo della sicurezza. Qualora doveste consentire al vostro fornitore di servizi informatici o a un produttore di software l'accesso remoto ai vostri sistemi nell'ambito di un contratto di supporto e manutenzione, tale accesso deve essere reso sufficientemente sicuro. La comunicazione deve avvenire con l'applicazione di tecnologie di codifica come l'autenticazione a due fattori (ad es. tramite un VPN con certificato e nome utente e password). Inoltre, l'accesso deve avvenire solo mediante un account appositamente configurato, da attivare solo quando necessario. Non deve comportare una possibilità di accesso permanente. Tali accessi devono essere monitorati per tutta la loro durata. Il vostro fornitore di servizi IT o il produttore del software dovrebbero potervi aiutare nell'attuazione di tali misure. Nei casi più frequenti, alla luce di queste raccomandazioni, è possibile evitare l'applicazione del modulo SAQ D e ottenere in questo modo la conformità PCI DSS in maniera più efficiente. 3. Misure per la PCI DSS Compliance per gli hotel (SAQ B) I dati delle carte di credito vengono trattati solo da terminali con connessione telefonica e su ricevute cartacee. Nessuna archiviazione elettronica dei dati delle carte di credito Campo di applicazione I contenuti di seguito affrontati corrispondono a quelli del modulo SAQ di categoria B e si riferiscono dunque a un ambiente lavorativo in cui i dati delle carte di credito vengono trattati esclusivamente su carta e con terminali di pagamento collegati tramite ISDN senza memorizzazione elettronica dei dati stessi. Nel caso in cui queste caratteristiche non corrispondano a quelle del vostro hotel, dovreste consultare ancora una volta il precedente capitolo «La scelta del SAQ corretto» per determinare la categoria SAQ più adatta a voi oppure chiedere chiarimenti alla vostra banca acquirer. È importante determinare per prima cosa la categoria corretta per il vostro hotel, poiché le misure di seguito descritte sono complete solamente per ambienti di lavoro corrispondenti alla categoria B. Potete trovare il SAQ adeguato ai vostri processi aziendali presso il vostro acquirer, oppure scaricarlo dal sito del PCI SSC all'indirizzo https://it.pcisecuritystandards.org/minisite/en/saq-v3.0-documentation.php Accesso alle informazioni delle carte di credito Rischio potenziale L'accesso ai dati delle carte di credito dovrebbe essere consentito esclusivamente a quei collaboratori che ne hanno bisogno per la loro attività. Se aumenta il numero di persone che hanno accesso a dati sensibili, aumenta naturalmente anche il rischio che questi ultimi vengano trafugati. Ciò non deve dipendere necessariamente da un impiegato malintenzionato ma può avvenire anche semplicemente per ignoranza sulle corrette modalità di trattamento delle informazioni sensibili. 9/25

10 Misure I diritti di accesso devono essere assegnati in maniera tale che ciascun collaboratore disponga esclusivamente dei diritti necessari per espletare i propri compiti. Ciò vale sia per l'accesso ai computer sia per le possibilità di accesso fisico ad armadi, cassetti o stanze. Una password dovrebbe essere nota solamente a quei collaboratori che realmente necessitano dell'accesso al computer. Parimenti, le chiavi dei luoghi dove vengono custodite le informazioni delle carte di credito dovrebbero essere consegnate solamente a quei collaboratori che ne hanno bisogno per le proprie mansioni. Ciò vale per tutti i luoghi di custodia, ovvero, ad esempio, per l'armadio nel back office o nel reparto contabilità così come per il cassetto alla reception. Nel caso in cui un collaboratore lasci l'hotel, è necessario verificare se disponeva di speciali diritti di accesso. Nel caso in cui avesse accesso a un computer, è necessario modificare la relativa password. Ovviamente bisogna anche chiedere la restituzione delle chiavi precedentemente consegnate. Compito Stabilire quali collaboratori hanno accesso ai contenitori di informazioni sensibili sulle carte di credito in formato cartaceo 3.3. Gestione delle Rischio potenziale Spesso i clienti spediscono all'hotel un contenente i dati della propria carta di credito, ad esempio nell'ambito di una prenotazione. Inizialmente tale è pertanto visibile da tutti coloro i quali hanno accesso al computer in questione. Nota: in questa sede descriviamo solamente il caso in cui un cliente vi invii informazioni sulla propria carta di credito in un di prenotazione senza che voi lo abbiate richiesto. Qualora si tratti tuttavia di un regolare processo aziendale da voi richiesto, potete concludere qui lo svolgimento del presente elenco di misure. Rientrate nel questionario di autovalutazione D e dovete pertanto soddisfare criteri di sicurezza notevolmente più ampi. In tale eventualità, dovreste richiedere al vostro acquirer un supporto professionale. Misure Immediatamente dopo la ricezione dell' , quest'ultima dovrebbe essere cancellata. Bisogna accertarsi che sia rimossa anche dal cestino e/o dalla cartella "Posta eliminata" e che non esista alcuna copia del messaggio memorizzata su un server centrale ai fini di archiviazione. Qualora abbiate bisogno delle informazioni contenute nel messaggio, si consiglia di stamparlo e di proseguire nell'evasione della richiesta esclusivamente su carta. Trovate maggiori informazioni sulla gestione delle stampe nel prossimo capitolo. Compito Istruire il personale con accesso ai computer sulla corretta gestione delle 10/25

11 3.4. Gestione di stampe e ricevute cartacee Rischio potenziale Tipicamente, in un hotel le informazioni delle carte di credito sono riportate su un gran numero di documenti cartacei, fra i quali, in particolare, stampe, fax e ricevute del terminale di pagamento. Qualora tali documenti non vengano gestiti con accortezza, le informazioni ivi contenute rappresentano una facile preda per impiegati malintenzionati. Misure Ovunque vengano trattate informazioni su carte di credito in formato cartaceo, queste ultime devono essere custodite in armadi o cassetti chiusi a chiave. Stampe e ricevute non devono ad esempio mai essere impilate bene in vista alla reception. Tali documenti devono essere classificati in generale come confidenziali e il personale che vi entra in contatto deve essere istruito in merito alle informazioni sensibili che essi contengono. Lo standard PCI DSS proibisce ogni forma di archiviazione dei cosiddetti dati sensibili di autenticazione, che nel caso delle carte di credito comprendono fra l'altro il codice di verifica e il PIN. Di regola, tuttavia, l'albergatore non ha mai accesso al PIN. Qualora però l' di un cliente contenga ad esempio anche il suo codice di verifica quest'ultimo deve essere reso illeggibile (annerito) anche sulla stampa. Inoltre, dovrebbero avere accesso alle ricevute solo i collaboratori che ne hanno bisogno per l'espletamento delle proprie mansioni. Per questo motivo è necessario controllare severamente e registrare per iscritto chi dispone di una chiave per i luoghi dove vengono custodite le informazioni. Al momento dello smaltimento di stampe, ricevute e altri documenti cartacei contenenti dati delle carte di credito è necessario accertarsi che questi vengano effettivamente distrutti e non possano essere ripristinati. Devono finire nel tritadocumenti e non nel semplice cestino. Mediante il cosiddetto cross-cut i documenti vengono sminuzzati in maniera tale da rendere impossibile l'utilizzo delle informazioni nelle singole parti. Per questo motivo, se si provvede autonomamente alla distruzione dei documenti, bisogna accertarsi di acquistare un tritadocumenti che supporti questa modalità di funzionamento. La norma DIN definisce cinque livelli di sicurezza. Ai fini di una distruzione sicura delle informazioni sensibili si raccomanda almeno un tritadocumenti di livello 3. Se si commissiona lo smaltimento a un operatore esterno è necessario accertarsi che quest'ultimo assuma la responsabilità della corretta distruzione dei documenti. Questo aspetto dovrebbe essere parte integrante del contratto stipulato con l'operatore in questione. Spesso in una situazione del genere i documenti non sono distrutti immediatamente ma vengono prima raccolti. A tal fine, è necessario proteggere da accessi non autorizzati il contenitore in cui vengono custoditi i documenti. Nel caso in cui, ad esempio, si tratti di un armadio, quest'ultimo deve essere perlomeno dotato di una serratura. Compiti Custodire sotto chiave stampe, fax e ricevute contenenti informazioni su carte di credito Le informazioni altamente sensibili sulle stampe devono essere rese illeggibili per sicurezza Informare il personale sulla corretta modalità di gestione di stampe e ricevute cartacee Durante lo smaltimento i dati delle carte di credito vengono distrutti definitivamente L'operatore incaricato provvede a uno smaltimento regolamentare e se ne assume la responsabilità 11/25

12 3.5. Il terminale di pagamento Rischio potenziale Nel caso in cui l'archiviazione elettronica delle informazioni sulle carte di credito non sia assolutamente necessaria, bisognerebbe in genere farne sempre a meno. Le misure qui descritte (SAQ categoria B) partono dal presupposto che non venga archiviato in forma digitale alcun dato delle carte di credito. In caso di dispositivi meno recenti, è possibile che i dati delle carte vengano memorizzati. Con i terminali più moderni non dovrebbe più essere così. Oggigiorno i dispositivi dovrebbero essere inoltre al sicuro da eventuali tentativi di manipolazione. Spesso sul terminale di pagamento viene apposto un relativo sigillo di sicurezza. Ciò è dovuto al fatto che in passato ci sono stati furti di informazioni mediante terminali manomessi. Misure Qualora non siate sicuri se il terminale di pagamento da voi impiegato sia a prova di manomissione o se memorizzi o meno i dati delle carte, dovreste chiedere all'operatore che ve lo ha messo a disposizione se il terminale soddisfa gli standard di sicurezza. Compiti È necessario accertarsi che i terminali di pagamento siano a prova di sostituzione, manomissione o danneggiamento Chiarire se tutto il personale è stato o sarà istruito al fine di rilevare tali modifiche Tutti i terminali vengono elencati in una lista che comprende l'ubicazione, il numero di serie e il produttore. Il personale viene istruito al fine di rilevare danneggiamenti o modifiche evidenti sui terminali. Viene svolta un'ispezione periodica di tutti i dispositivi al fine di verificarne e garantirne la sicurezza Contattare il fornitore o il produttore del terminale impiegato (oppure verificare la certificazione del dispositivo sul sito del PCI Council) Chiarire se il proprio terminale soddisfa gli standard di sicurezza Chiarire se il proprio terminale è appositamente protetto contro le manomissioni Chiarire se il proprio terminale memorizza i dati delle carte di credito In caso affermativo: chiarire se queste possono essere cancellate in sicurezza 12/25

13 3.6. Documenti di sicurezza Lo standard PCI richiede la redazione e l'aggiornamento di determinati documenti mirati al mantenimento della visione d'insieme sul rispetto dei diversi requisiti. La documentazione scritta rappresenta inoltre il miglior modo per poter dimostrare in un secondo momento la conformità PCI nei confronti di terzi. Si raccomanda pertanto di tenere una documentazione concisa e pragmatica sui seguenti aspetti. Direttiva sulla sicurezza delle informazioni Una direttiva sulla sicurezza delle informazioni dovrebbe descrivere la gestione presso l'hotel di tutti gli a- spetti critici sotto il profilo della sicurezza. Lo standard PCI DSS non richiede a tal fine la redazione di un opera complessa di consultazione; è sufficiente che siano affrontati brevemente tutti i temi rilevanti per la sicurezza. Ciò riguarda in primo luogo la gestione sicura delle informazioni delle carte di credito, ma anche l'uso dei computer e dei software installati sugli stessi. Nello specifico, è necessario segnalare al personale che le informazioni delle carte di credito non devono mai essere inviate via senza protezioni. Per la comunicazione vengono utilizzate spesso le cosiddette tecnologie di messaggistica per utenti finali, che tuttavia non offrono la possibilità di proteggere adeguatamente i dati trasmessi. Per questo motivo tali tecnologie non devono in alcun caso essere utilizzate per la spedizione di dati di carte di credito. Il concetto di tecnologie per utenti finali comprende in generale le non cifrate, i software di messaggistica istantanea e i programmi di chat, come ad esempio ICQ o Skype, ma anche Dropbox, Cloud e simili. I messaggi inviati tramite questi canali possono essere facilmente intercettati e visualizzati mediante software liberamente disponibili su Internet poiché, nella maggior parte dei casi, tali programmi non offrono alcuna opzione di codifica dei messaggi. In considerazione del maggiore rischio che comportano, bisognerebbe rinunciare del tutto all'uso di software che trasmettono i messaggi senza codifica. La cosa migliore è stabilirlo in un'istruzione di lavoro che proibisca il ricorso a tecnologie a rischio. Affinché il personale comprenda il motivo per cui è necessario rinunciarvi, è bene segnalare i pericoli ad esse collegati. Bisogna richiamare l'attenzione dei collaboratori sul fatto che la sicurezza dei dati delle carte di credito dei vostri clienti contribuisce in misura determinante al successo aziendale a lungo termine ed è quindi nel loro stesso interesse. Se possibile, dovrebbe essere offerto ai collaboratori un training sulla sicurezza. Una sufficiente sensibilizzazione può tuttavia essere ottenuta anche solo mediante appositi poster o salvaschermo sul posto di lavoro. Per tale motivo, la direttiva sulla sicurezza delle informazioni dovrebbe essere consegnata a ciascun collaboratore. Una volta all'anno la direttiva dovrebbe essere controllata sotto il profilo della necessità di aggiornamento, ed eventualmente modificata nel caso in cui ci siano stati dei cambiamenti. Istruzione di lavoro per il personale con accesso ai dati delle carte di credito L'istruzione di lavoro per i collaboratori con accesso ai dati delle carte di credito deve ricordare loro che hanno a che fare con informazioni sensibili, indicandone le corrette modalità di gestione. Ciò comprende i contenuti dei capitoli «Gestione delle » e «Gestione di stampe e ricevute cartacee». Elenco delle autorizzazioni di accesso L'elenco delle autorizzazioni di accesso dovrebbe riportare i nomi dei collaboratori che utilizzano i computer con caselle di posta elettronica e/o che dispongono di una chiave dei luoghi dove sono custodite stampe e ricevute cartacee. In combinazione con il piano di servizio sarà in questo modo possibile ricostruire chi aveva accesso alle informazioni delle carte di credito nei vari momenti. 13/25

14 Elenco dei fornitori esterni di servizi Nel modulo SAQ B viene data una particolare importanza al rapporto con i fornitori di servizi poiché a questi vengono affidati processi di pagamento fondamentali. In presenza di contratti con fornitori esterni di servizi che entrano in contatto con i dati delle carte di credito, è necessario informare gli stessi in merito alla sensibilità dei dati. Detti contratti dovrebbero contemplare la loro corresponsabilità per la sicurezza dei dati delle carte di credito dal momento in cui vi entrano in contatto. Ad esempio, a un operatore esterno incaricato della distruzione dei dati delle carte di credito deve essere chiara la sua responsabilità per uno smaltimento regolamentare. Un elenco comprendente tutti i fornitori esterni di servizi, direttamente o indirettamente coinvolti nel processo di pagamento, contribuisce a mantenere la visione d'insieme. Tale elenco deve essere costantemente aggiornato. In caso di vincoli contrattuali con fornitori di servizi, occorre distinguere chiaramente quali compiti spettano al fornitore, che di conseguenza ne risponde. Almeno una volta l'anno è necessario verificare la conformità PCI dei fornitori di servizi. Se conoscete lo stato di conformità PCI DSS del vostro provider di servizi potete essere sicuri che è soggetto agli stessi requisiti posti alla vostra azienda. Le maggiori società di carte di credito dispongono di propri elenchi dai quali è possibile stabilire la conformità PCI DSS di fornitori e produttori per quanto riguarda le operazioni con carta di credito. Tali elenchi sono resi disponibili sui relativi siti e possono essere consultati da chiunque. La lista di MasterCard è reperibile al seguente indirizzo: Al seguente link trovate invece l'elenco dei fornitori di servizi certificati da Visa Europe: retailers/payment_security/service_providers.aspx Specialmente se trattate i dati delle carte di credito mediante applicazioni di pagamento (e rientrate quindi nel campo di applicazione del modulo SAQ C), sulle pagine web del PCI Council potete verificare se il software da voi impiegato soddisfa il PCI Payment Application Data Security Standard (PCI PA-DSS). L'uso di software certificati agevola l'attuazione delle misure per ottenere la conformità PCI DSS. Per verificare se un'applicazione o una sua specifica versione è certificata ai sensi dello standard PCI PA-DSS, consultate la seguente pagina sul sito del PCI Council: https://www.pcisecuritystandards.org/approved_companies_providers/validated_payment_applications.php Sempre sul sito del PCI Council potete anche verificare se il terminale da voi impiegato per il trattamento delle carte di credito è certificato: https://www.pcisecuritystandards.org/approved_companies_providers/approved_pin_transaction_security.php Lo stato di conformità PCI DSS dei fornitori di servizio deve essere verificato una volta l'anno. Compiti Redazione di una direttiva sulla sicurezza delle informazioni Redazione di un'istruzione di lavoro per il personale con accesso ai dati delle carte di credito Creazione di un elenco delle autorizzazioni di accesso Creazione di un elenco dei fornitori esterni di servizi Verifica dello stato di conformità PCI DSS dei fornitori di servizi Creazione di un elenco dei requisiti PCI soddisfatti dai fornitori di servizi 14/25

15 3.7. Sicurezza duratura per i dati delle carte di credito Per le aziende che trattano le carte di credito esclusivamente tramite terminali con connessione telefonica e ricevute cartacee, le misure qui descritte rappresentano un livello minimo di sicurezza per i dati delle carte di credito. In caso di rinuncia all'archiviazione elettronica delle informazioni delle carte di credito, attuando tutte le misure si ottiene in modo efficiente e fattibile una protezione di base. Al fine di mantenere la conformità PCI, il modulo SAQ deve essere compilato una volta l'anno ed eventualmente presentato all'acquirer. Ciò consente anche di verificare le misure introdotte e/o di reagire a eventuali cambiamenti avvenuti nei processi aziendali, adeguando all'occorrenza la categoria del SAQ. L'ottenimento e/o la dimostrazione della conformità PCI non bastano tuttavia di per sé a proteggere i dati delle carte di credito sul lungo periodo. Una protezione per gli utenti duratura si ottiene solamente se le misure vengono anche «vissute». A tale scopo tutti i soggetti coinvolti devono remare insieme nella stessa direzione. In fin dei conti la protezione dei dati dei clienti non dovrebbe avvenire solamente in considerazione delle possibili richieste di risarcimento, ma dovrebbe nascere anche dal desiderio di assicurare a lungo termine le proprie attività e competitività future Allegato A: Lista di controllo SAQ B Il flusso di carte di credito presso l'hotel è noto? Le carte di credito vengono gestite esclusivamente su un terminale con connessione telefonica e per il resto solo su carta? Ad avere accesso ai dati delle carte di credito sono solo i collaboratori che ne hanno bisogno per espletare le proprie mansioni? Ad avere accesso a un computer sono solo i collaboratori che ne hanno effettivamente bisogno? A disporre delle chiavi dei luoghi dove sono custoditi i dati delle carte di credito sono solo i collaboratori che ne hanno effettivamente bisogno? I collaboratori sono stati istruiti in merito alla gestione sicura delle contenenti dati di carte di credito? I collaboratori sono stati istruiti in merito alla gestione sicura di stampe e ricevute cartacee contenenti dati di carte di credito? Il personale è consapevole del fatto che le informazioni sulle carte di credito rappresentano dati sensibili? Stampe, fax e ricevute contenenti informazioni sulle carte di credito sono custoditi sotto chiave? Le informazioni altamente sensibili sulle stampe vengono rese illeggibili? 15/25

16 È sicuro che i dati delle carte di credito vengano distrutti definitivamente al momento del loro smaltimento? È garantito per contratto che l'operatore incaricato effettui uno smaltimento regolamentare e se ne assuma la responsabilità? Da chiarire con il fornitore di servizi: il terminale impiegato soddisfa gli standard di sicurezza delle carte di credito (in alternativa verifica della certificazione del dispositivo sul sito del PCI Council)? Il terminale memorizza i dati delle carte di credito? In caso affermativo: è possibile cancellarli in modo sicuro? Il terminale è a prova di manomissioni? È disponibile una direttiva sulla sicurezza delle informazioni? I relativi contenuti sono chiari a tutti i collaboratori? È disponibile un'istruzione di lavoro per il personale con accesso ai dati delle carte di credito? È disponibile un elenco delle autorizzazioni di accesso? Esiste un rapporto contrattuale con i fornitori di servizi che entrano in contatto con i dati delle carte di credito? Esiste un elenco di tali fornitori di servizi in cui siano suddivisi i compiti di questi ultimi e della propria azienda? Verifica dello stato di conformità PCI DSS dei fornitori di servizi I fornitori di servizi sono stati sensibilizzati sul tema della gestione dei dati delle carte di credito? La necessità di aggiornamento di misure e documenti viene verificata una volta l'anno? Esiste un elenco di tutti i terminali di pagamento con i relativi numeri di serie? I terminali di pagamento vengono controllati periodicamente per escludere mancanze o manomissioni? 16/25

17 3.9. Allegato B: Lista di controllo Settori di trattamento delle carte di credito Processo Area Mezzo contenente i dati Trattamento dei dati 17/25

18 4. Misure per la PCI DSS Compliance per gli hotel (SAQ B-IP) Il vostro hotel utilizza esclusivamente dispositivi stand-alone certificati PTS (POI) e collegati mediante il protocollo di trasmissione IP al processor che riceve i dati del pagamento. Tali dispositivi indipendenti sono validati dal programma PTS POI. ConCardis può indicarvi modelli idonei. I dispositivi POI stand-alone collegati tramite IP non devono essere connessi con nessun'altra rete del proprio ambiente (ciò è possibile ad esempio mediante una segmentazione della rete e un firewall). L'unica possibilità di trasmettere i dati delle carte è il collegamento del dispositivo certificato PTS con il processor del pagamento. Il dispositivo POI non richiede nessun altro apparecchio (ad es. computer, cellulari, casse ecc.) per il collegamento al processor del pagamento. Il vostro hotel tiene esclusivamente report stampati o copie cartacee delle fatture con i dati delle carte e questa documentazione elettronica non viene ricevuta elettronicamente. Il vostro hotel non memorizza i dati delle carte in formato elettronico. Questo modulo SAQ non vale per dispositivi SCR (Secure Card Reader) Campo di applicazione I contenuti di seguito affrontati corrispondono a quelli del modulo SAQ di categoria B-IP e coincidono sotto molti aspetti con quelli del modulo SAQ B. La differenza consiste principalmente nei dispositivi basati sul protocollo IP, che devono essere strettamente separati dagli altri sistemi informatici dell'hotel. A ciò si può aggiungere eventualmente l'obbligo di far verificare trimestralmente la vulnerabilità della propria rete da parte di un ASV certificato. A tal proposito si veda in particolare l'eccezione indicata al punto 4.3. «ASV SCAN». Potete trovare un ASV sul sito oppure all'indirizzo https://www.pcisecuritystandards.org/approved_companies_providers/approved_scanning_vendors.php Il SAQ B-IP si riferisce a un ambiente di lavoro in cui i dati delle carte di credito vengono inoltrati direttamente al processor esclusivamente mediante terminali certificati PTS, senza essere memorizzati in formato elettronico, e sono disponibili solo in formato cartaceo. Nel caso in cui queste caratteristiche non corrispondano a quelle del vostro hotel, dovreste consultare ancora una volta il precedente capitolo «La scelta del SAQ corretto» per determinare la categoria SAQ più adatta a voi oppure chiedere chiarimenti alla vostra banca acquirer. È importante determinare per prima cosa la categoria corretta per il vostro hotel poiché le misure di seguito descritte sono complete solamente per ambienti di lavoro corrispondenti alla categoria B-IP. Potete richiedere il SAQ adeguato ai vostri processi aziendali a ConCardis, oppure scaricarlo dal sito del PCI SSC all'indirizzo https://it.pcisecuritystandards.org/minisite/en/saq-v3.0-documentation.php. 18/25

19 Segmentazione di rete: la categoria SAQ B-IP richiede una rigida separazione dei sistemi di pagamento dagli altri luoghi e sistemi dell'hotel. In caso di segmentazione insufficiente della rete, i dati dei terminali PTS possono finire sulla rete dell'hotel, offrendo agli hacker la possibilità di trafugarli o inoltrarli (v. anche pag. 10). Il presupposto per una segmentazione efficace è avere una completa visione d'insieme della propria rete con tutti i suoi componenti e specialmente dei punti di entrata e uscita verso reti non sicure (Internet). Dopo ogni modifica l'efficacia della segmentazione deve essere nuovamente verificata. Un fornitore di servizi IT può rivelarsi molto prezioso in questo caso. Compiti Esiste uno schema aggiornato della rete? Esiste un'effettiva segmentazione della rete fra il sistema di pagamento e la restante rete dell'hotel? Si utilizza un firewall? 4.2. Accesso alle informazioni delle carte di credito Rischio potenziale L'accesso ai dati delle carte di credito dovrebbe essere consentito esclusivamente a quei collaboratori che ne hanno bisogno per la loro attività. Se aumenta il numero di persone che hanno accesso a dati sensibili, aumenta naturalmente anche il rischio che questi ultimi vengano trafugati. Ciò non deve dipendere necessariamente da un impiegato malintenzionato ma può avvenire anche semplicemente per ignoranza sulle corrette modalità di trattamento delle informazioni sensibili. Misure I diritti di accesso devono essere assegnati in maniera tale che ciascun collaboratore disponga esclusivamente dei diritti necessari per espletare i propri compiti. Ciò vale per le possibilità di accesso fisico ad armadi, cassetti o stanze. Le chiavi dei luoghi dove vengono custodite le informazioni delle carte di credito dovrebbero essere consegnate solamente a quei collaboratori che ne hanno bisogno per le proprie mansioni. Ciò vale per tutti i luoghi di custodia, ovvero, ad esempio, per l'armadio nel back office o nel reparto contabilità così come per il cassetto alla reception. Se un collaboratore lascia l'hotel, ovviamente bisogna anche chiedere la restituzione delle chiavi precedentemente consegnate. Compiti Verificare che tutti i terminali di pagamento siano certificati PTS Stabilire quali collaboratori hanno accesso ai contenitori di informazioni sensibili sulle carte di credito in formato cartaceo 19/25

20 4.3. ASV SCAN L'adempimento della compliance mediante SAQ B-IP può prevedere lo svolgimento dei cosiddetti ASV Scan (ASV = Applied Security Vendor) contro le interfacce pubblicamente accessibili dell'hotel. Per maggiori informazioni in merito consultare la pagina https://www.pcisecuritystandards.org/documents/asv_program_guide_v2.pdf Tali scansioni stabiliscono se la vostra protezione verso l'esterno è efficace. ECCEZIONE: se il vostro firewall non è raggiungibile da Internet e dai terminali di pagamento è consentito solo il traffico in uscita, l'obbligo di scansione viene meno. Un ASV Scan una tantum del vostro ambiente di lavoro vi può dare maggiore sicurezza Gestione delle Rischio potenziale Spesso i clienti spediscono all'hotel un contenente i dati della propria carta di credito, ad esempio nell'ambito di una prenotazione. Inizialmente tale è pertanto visibile da tutti coloro i quali hanno accesso al computer in questione. Nota: in questa sede descriviamo solamente il caso in cui un cliente vi invii informazioni sulla propria carta di credito in un di prenotazione senza che voi lo abbiate richiesto. Qualora si tratti tuttavia di un regolare processo aziendale da voi richiesto, potete concludere qui lo svolgimento del presente elenco di misure. Rientrate nel questionario di autovalutazione D e dovete pertanto soddisfare criteri di sicurezza notevolmente più ampi. In tale eventualità, dovreste richiedere al vostro acquirer un supporto professionale. Misure Immediatamente dopo la ricezione dell' , quest'ultima dovrebbe essere cancellata. Bisogna accertarsi che sia rimossa anche dal cestino e/o dalla cartella "Posta eliminata" e che non esista alcuna copia del messaggio memorizzata su un server centrale ai fini di archiviazione. Qualora abbiate bisogno delle informazioni contenute nel messaggio, si consiglia di stamparlo e di proseguire nell'evasione della richiesta esclusivamente su carta. Trovate maggiori informazioni sulla gestione delle stampe nel prossimo capitolo. Compito Istruire il personale con accesso ai computer sulla corretta gestione delle 20/25

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione Istruzioni e linee guida Versione 2.0 Ottobre 2010 Modifiche del documento Data Versione Descrizione 1 ottobre 2008 1.2

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS)

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Attestato di conformità per questionario di autovalutazione B-IP Versione 3.0 Febbraio 2014 Sezione 1 - Informazioni sulla valutazione

Dettagli

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione A e Attestato di conformità

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione A e Attestato di conformità Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione A e Attestato di conformità Nessuna memorizzazione, elaborazione o trasmissione dati di titolari di carte in formato elettronico

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione C e Attestato di conformità

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione C e Attestato di conformità Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione C e Attestato di conformità Applicazione di pagamento connessa a Internet, Nessuna memorizzazione elettronica dei dati

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati Questionario di autovalutazione P2PE-HW e Attestato di conformità

Settore delle carte di pagamento (PCI) Standard di protezione dei dati Questionario di autovalutazione P2PE-HW e Attestato di conformità Settore delle carte di pagamento (PCI) Standard di protezione dei dati Questionario di autovalutazione P2PE-HW e Attestato di conformità Terminali di pagamento hardware in una soluzione P2PE inclusa nell

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS)

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Attestato di conformità per questionario di autovalutazione D - Provider di servizi Versione 3.0 Febbraio 2014 Sezione 1 - Informazioni

Dettagli

PCI DSS ISTRUZIONI OPERATIVE

PCI DSS ISTRUZIONI OPERATIVE PCI DSS ISTRUZIONI OPERATIVE ver febbraio 2014 COS E IL PCI SSC (SECURITY STANDARD COUNCIL) L'organizzazione è stata fondata da Visa, Inc., MasterCard Worldwide, American Express, Discover Financial Services

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati. Riepilogo delle modifiche PCI DSS dalla versione 1.2.1 alla 2.

Settore delle carte di pagamento (PCI) Standard di protezione dei dati. Riepilogo delle modifiche PCI DSS dalla versione 1.2.1 alla 2. Settore delle carte di pagamento (PCI) Standard di protezione dei dati Riepilogo delle modifiche PCI DSS dalla versione 1.2.1 alla 2.0 Ottobre 2010 In tutto il documento Eliminati i riferimenti specifici

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS)

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Attestato di conformità per questionario di autovalutazione B Versione 3.0 Febbraio 2014 Sezione 1 - Informazioni sulla valutazione

Dettagli

Soluzioni integrate. ccredit rapido, semplice e affidabile

Soluzioni integrate. ccredit rapido, semplice e affidabile Payment Services Soluzioni integrate ccredit rapido, semplice e affidabile Una soluzione basata su software per punti vendita di partner commerciali nazionali e paneuropei 2 ccredit di SIX Un innovativa

Dettagli

Travelex Data Protection & Privacy and Information Security Guidelines

Travelex Data Protection & Privacy and Information Security Guidelines Nel corso del rapporto di lavoro con la Travelex, potrai venire in contatto con informazioni relative ai nostri clienti, partner e dipendenti. Il livello e la sensibilità delle informazioni varieranno

Dettagli

Guida per i Commercianti

Guida per i Commercianti Account Information Security (Protezione dei Dati dei Clienti) Implementazione del programma Payment Card Industry Data Security Standards (PCI DSS) Guida per i Commercianti Argomenti Prossimo Chiudi Indice

Dettagli

Volete essere sicuri di essere conformi PCI DSS e di ridurre il rischio di frodi?

Volete essere sicuri di essere conformi PCI DSS e di ridurre il rischio di frodi? Volete essere sicuri di essere conformi PCI DSS e di ridurre il rischio di frodi? NCR Security diminuisce la difficoltà di essere conformi a PCI e protegge l integrità della vostra rete Un White Paper

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Requisiti e procedure di valutazione della sicurezza Versione 2.0 Ottobre 2010 Modifiche del documento Data Versione Descrizione Pagine Ottobre 2008 luglio

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento (PA-DSS)

Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento (PA-DSS) Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento (PA-DSS) Requisiti e procedure di valutazione della sicurezza Versione 3.0 Novembre 2013 Modifiche

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3. Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente documento contiene un

Dettagli

La vostra azienda è pronta per un server?

La vostra azienda è pronta per un server? La vostra azienda è pronta per un server? Guida per le aziende che utilizzano da 2 a 50 computer La vostra azienda è pronta per un server? Sommario La vostra azienda è pronta per un server? 2 Panoramica

Dettagli

Payment Card Industry (PCI) Standard di protezione dei dati Questionario di autovalutazione C e Attestato di conformità

Payment Card Industry (PCI) Standard di protezione dei dati Questionario di autovalutazione C e Attestato di conformità Payment Card Industry (PCI) Standard di protezione dei dati Questionario di autovalutazione C e Attestato di conformità Esercenti con sistemi di pagamento connessi a Internet, nessuna memorizzazione elettronica

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Requisiti e procedure di valutazione della sicurezza Versione 1.2.1 Luglio 2009 Modifiche del documento Data Versione Descrizione Pagine Ottobre 2008

Dettagli

Entro il 31 marzo 2007 dovrà essere effettuato il rinnovo del DPS (Documento Programmatico sulla Sicurezza) aggiornandone i contenuti.

Entro il 31 marzo 2007 dovrà essere effettuato il rinnovo del DPS (Documento Programmatico sulla Sicurezza) aggiornandone i contenuti. INFORMAZIONI DI MASSIMA PER IL RINNOVO DEL DPS ANNO 2007 Entro il 31 marzo 2007 dovrà essere effettuato il rinnovo del DPS (Documento Programmatico sulla Sicurezza) aggiornandone i contenuti. Quello di

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Requisiti e procedure di valutazione della sicurezza

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Requisiti e procedure di valutazione della sicurezza Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Requisiti e procedure di valutazione della sicurezza Versione 3.0 Novembre 2013 Modifiche del documento Data Versione Descrizione

Dettagli

Connessioni sicure: ma quanto lo sono?

Connessioni sicure: ma quanto lo sono? Connessioni sicure: ma quanto lo sono? Vitaly Denisov Contenuti Cosa sono le connessioni sicure?...2 Diversi tipi di protezione contro i pericoli del network.....4 Il pericolo delle connessioni sicure

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Requisiti e procedure di valutazione della sicurezza Versione 1.2 Ottobre 2008 Sommario Introduzione e panoramica di PCI Data Security Standard...3 Informazioni

Dettagli

Informativa sulla privacy

Informativa sulla privacy Informativa sulla privacy Kelly Services, Inc. e le sue affiliate ("Kelly Services" o "Kelly") rispettano la vostra privacy e riconoscono i vostri diritti relativi ai dati personali che acquisisce da voi,

Dettagli

Il tuo manuale d'uso. NOKIA 9500 COMMUNICATOR http://it.yourpdfguides.com/dref/381850

Il tuo manuale d'uso. NOKIA 9500 COMMUNICATOR http://it.yourpdfguides.com/dref/381850 Può anche leggere le raccomandazioni fatte nel manuale d uso, nel manuale tecnico o nella guida di installazione di NOKIA 9500 COMMUNICATOR. Troverà le risposte a tutte sue domande sul manuale d'uso (informazioni,

Dettagli

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione D e Attestato di conformità

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione D e Attestato di conformità Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione D e Attestato di conformità Tutti gli altri esercenti e provider di servizi idonei al questionario SAQ Versione 2.0 Ottobre

Dettagli

Assistenza completa anche online

Assistenza completa anche online Assistenza completa anche online MyVisana, il nostro portale dei clienti online Per una copertura assicurativa ottimale per ogni fase della vita. www.visana.ch Iscrivetevi ora! www.myvisana.ch Con MyVisana

Dettagli

Perché abbiamo problemi di sicurezza? Sicurezza. Reti di calcolatori. 2001-2007 Pier Luca Montessoro (si veda la nota di copyright alla slide n.

Perché abbiamo problemi di sicurezza? Sicurezza. Reti di calcolatori. 2001-2007 Pier Luca Montessoro (si veda la nota di copyright alla slide n. RETI DI CALCOLATORI Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine 2001-2007 Pier Luca Montessoro (si veda la nota a pagina 2) 1 Nota di Copyright Questo insieme di trasparenze

Dettagli

9243057 Edizione 1 IT. Nokia e Nokia Connecting People sono marchi registrati di Nokia Corporation

9243057 Edizione 1 IT. Nokia e Nokia Connecting People sono marchi registrati di Nokia Corporation 9243057 Edizione 1 IT Nokia e Nokia Connecting People sono marchi registrati di Nokia Corporation VPN Client Manuale d'uso 9243057 Edizione 1 Copyright 2005 Nokia. Tutti i diritti sono riservati. Il contenuto

Dettagli

Documento Programmatico sulla Sicurezza Parte generale

Documento Programmatico sulla Sicurezza Parte generale Documento Programmatico sulla Sicurezza Parte generale SEZIONE A TRATTAMENTO DI DATI CON L AUSILIO DI STRUMENTI INFORMATICI Al fine di garantire la riservatezza e l integrità dei dati personali, sensibili

Dettagli

COMUNE DI PRAMOLLO PROVINCIA DI TORINO

COMUNE DI PRAMOLLO PROVINCIA DI TORINO COMUNE DI PRAMOLLO PROVINCIA DI TORINO ALLEGATO 7 AL MANUALE DI GESTIONE DEL PROTOCOLLO INFORMATICO, DEI FLUSSI DOCUMENTALI E DEGLI ARCHIVI IL SISTEMA DOCUMENTALE E DI PROTOCOLLAZIONE ADOTTATO DALL ENTE

Dettagli

Mobile Security per apparecchi Symbian^3

Mobile Security per apparecchi Symbian^3 Mobile Security per apparecchi Symbian^3 1 Swisscom Mobile Security per Symbian^3 Questo manuale è destinato ai cellulari dotati del sistema operativo Symbian^3 (Symbian Generation 3). Per sapere quali

Dettagli

Manuale di Attivazione. Edizione Novembre 2008

Manuale di Attivazione. Edizione Novembre 2008 Manuale di Attivazione Edizione Novembre 2008 Manuale attivazione Internet Banking - 2008 INDICE 1. REQUISITI PRELIMINARI...3 2. DATI PER L ACCESSO AL SERVIZIO...4 2.1 UTENTI CHE UTILIZZANO IL CERTIFICATO

Dettagli

Introduzione alla famiglia di soluzioni Windows Small Business Server

Introduzione alla famiglia di soluzioni Windows Small Business Server Introduzione alla famiglia di soluzioni Windows Small Business Server La nuova generazione di soluzioni per le piccole imprese Vantaggi per le piccole imprese Progettato per le piccole imprese e commercializzato

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati Questionario di autovalutazione A-EP e Attestato di conformità

Settore delle carte di pagamento (PCI) Standard di protezione dei dati Questionario di autovalutazione A-EP e Attestato di conformità Settore delle carte di pagamento (PCI) Standard di protezione dei dati Questionario di autovalutazione A-EP e Attestato di conformità Esercenti di e-commerce parzialmente in outsourcing che utilizzano

Dettagli

Logo Microsoft Outlook 2003

Logo Microsoft Outlook 2003 Tecnologie informatiche CONFIGURARE MICROSOFT OUTLOOK 2003 Introduzione Logo Microsoft Outlook 2003 Microsoft Office Outlook 2003 è l'applicazione di Microsoft Office per la comunicazione e per la gestione

Dettagli

Payment Card Industry (PCI) Standard di protezione dei dati Questionario di autovalutazione D e Attestato di conformità per provider di servizi

Payment Card Industry (PCI) Standard di protezione dei dati Questionario di autovalutazione D e Attestato di conformità per provider di servizi Payment Card Industry (PCI) Standard di protezione dei dati Questionario di autovalutazione D e At di conformità per provider di servizi Provider di servizi idonei per il questionario SAQ Versione 3.0

Dettagli

Il tuo manuale d'uso. NOKIA 9300 http://it.yourpdfguides.com/dref/381729

Il tuo manuale d'uso. NOKIA 9300 http://it.yourpdfguides.com/dref/381729 Può anche leggere le raccomandazioni fatte nel manuale d uso, nel manuale tecnico o nella guida di installazione di. Troverà le risposte a tutte sue domande sul manuale d'uso (informazioni, specifiche,

Dettagli

COMUNE DI TURRI PROVINCIA DEL MEDIO CAMPIDANO

COMUNE DI TURRI PROVINCIA DEL MEDIO CAMPIDANO COMUNE DI TURRI PROVINCIA DEL MEDIO CAMPIDANO ALLEGATO 7 AL MANUALE DI GESTIONE DEL PROTOCOLLO INFORMATICO, DEI FLUSSI DOCUMENTALI E DEGLI ARCHIVI IL SISTEMA DOCUMENTALE E DI PROTOCOLLAZIONE ADOTTATO DALL'ENTE

Dettagli

Manuale di Attivazione. Edizione Ottobre 2008

Manuale di Attivazione. Edizione Ottobre 2008 Manuale di Attivazione Edizione Ottobre 2008 Manuale attivazione BT Internet Banking - 2008 INDICE 1. REQUISITI PRELIMINARI 3 2. DATI PER L ACCESSO AL SERVIZIO 4 2.1 UTENTI CHE UTILIZZANO IL CERTIFICATO

Dettagli

I COMPONENTI DI UNA RETE

I COMPONENTI DI UNA RETE I COMPONENTI DI UNA RETE LE SCHEDE DI RETE (O INTERFACCE 'NIC') Tutti I PC, per poterli utilizzare in rete, devono essere dotati di schede di rete (NIC). Alcuni PC sono dotati di NIC preinstallate. Nello

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 3.0 alla 3.

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 3.0 alla 3. Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 3.0 alla 3.1 Aprile 2015 Introduzione Il presente documento contiene un

Dettagli

F.I.S.M. di Venezia. caselle di PEC Posta Elettronica Certificata. Zelarino 09.10.2013 Relatore : ing. Mauro Artuso webmaster@fismvenezia.

F.I.S.M. di Venezia. caselle di PEC Posta Elettronica Certificata. Zelarino 09.10.2013 Relatore : ing. Mauro Artuso webmaster@fismvenezia. F.I.S.M. di Venezia caselle di PEC Posta Elettronica Certificata con Aruba http://www.pec.it Zelarino 09.10.2013 Relatore : ing. Mauro Artuso webmaster@fismvenezia.it La Posta Elettronica Certificata (PEC)

Dettagli

CHECK LIST PER LE VERIFICHE SULL OPERATO DEGLI AMMINISTRATORI DI SISTEMA

CHECK LIST PER LE VERIFICHE SULL OPERATO DEGLI AMMINISTRATORI DI SISTEMA CHECK LIST PER LE VERIFICHE SULL OPERATO DEGLI AMMINISTRATORI DI SISTEMA Una proposta per rispondere alla misura 4.4 (o e ) del Provvedimento del Garante del 28 novembre 2008. E' possibile dare il proprio

Dettagli

L ufficio senza carta: ora si può

L ufficio senza carta: ora si può Organizzazione L ufficio senza carta: ora si può Renata Bortolin Negli ultimi anni, abbiamo assistito al susseguirsi di annunci di leggi che semplificano i procedimenti amministrativi, fiscali e tributari

Dettagli

7,5 segnali che rivelano la necessità di un nuovo sistema di gestione dei documenti

7,5 segnali che rivelano la necessità di un nuovo sistema di gestione dei documenti Report gratuito 7,5 segnali che rivelano la necessità di un nuovo sistema di gestione dei documenti Il volume di informazioni da gestire cresce a un ritmo esponenziale. Senza un efficace sistema di gestione

Dettagli

ALICE PRATICHE EDILIZIE ON LINE MANUALE D'USO REL. 3.2

ALICE PRATICHE EDILIZIE ON LINE MANUALE D'USO REL. 3.2 PRATICHE EDILIZIE ON LINE MANUALE D'USO REL. 3.2 edizione: maggio 2011 INDICE 1. INTRODUZIONE... 2 1.1. Cos è ALICE PE Online... 2 1.2. Conoscenze richieste... 2 1.3. Terminologia di base... 3 2. GUIDA

Dettagli

Condizioni generali di compravendita per utenti (edizione settembre 2015)

Condizioni generali di compravendita per utenti (edizione settembre 2015) Condizioni generali di compravendita per utenti (edizione settembre 2015) Le presenti condizioni generali di compravendita (di seguito denominate anche "CGC") regolano i diritti e i doveri degli utenti

Dettagli

INDICE. 1 Scopo del documento... 2. 2 Passi da seguire... 3. 3 Materiale consegnato al momento dell abilitazione... 6

INDICE. 1 Scopo del documento... 2. 2 Passi da seguire... 3. 3 Materiale consegnato al momento dell abilitazione... 6 11 gennaio 2007 INDICE 1 Scopo del documento... 2 2 Passi da seguire... 3 3 Materiale consegnato al momento dell abilitazione... 6 4 Caratteristiche minime della postazione... 7 5 Virtual Machine Java...

Dettagli

Utilizzo Gestione dei file

Utilizzo Gestione dei file Utilizzo Gestione dei file Info su questo bollettino tecnico L'intento di questo bollettino tecnico è di aiutare gli sviluppatori FileMaker esperti a comprendere meglio e ad applicare le migliori metodologie

Dettagli

RICHIESTA SMART CARD PER SERVIZI CAMERALI Ver. 1.0/08

RICHIESTA SMART CARD PER SERVIZI CAMERALI Ver. 1.0/08 RICHIESTA SMART CARD PER SERVIZI CAMERALI Ver. 1.0/08 Informativa da leggere attentamente prima di richiedere la smart - card Cos'è la firma digitale? Secondo il dettato dell' art. 1 del dpr 445/2000 "

Dettagli

SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI

SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI Consigli per la protezione dei dati personali Ver.1.0, 21 aprile 2015 2 Pagina lasciata intenzionalmente bianca I rischi per la sicurezza e la privacy

Dettagli

Manuale di Attivazione. Edizione Ottobre 2008

Manuale di Attivazione. Edizione Ottobre 2008 Manuale di Attivazione Edizione Ottobre 2008 Manuale attivazione PaschiInTesoreria - Ottobre 2008 INDICE 1. Requisiti preliminari 3 2. Dati per l accesso al servizio 3 3. Istruzioni per l attivazione del

Dettagli

VOLPATO Sas per il trattamento dei dati con riguardo ai servizi di gestione e di manutenzione dei server di L armadio in giardino di Claudia Favaro;

VOLPATO Sas per il trattamento dei dati con riguardo ai servizi di gestione e di manutenzione dei server di L armadio in giardino di Claudia Favaro; Privacy Policy Benvenuto sul nostro sito web. Ti preghiamo di leggere attentamente la nostra Privacy Policy, che si applica in ogni caso in cui tu acceda al sito web e decida di navigare al suo interno

Dettagli

Procedure Standard Applicazione Misure Minime Sicurezza

Procedure Standard Applicazione Misure Minime Sicurezza PROCEDURE STANDARD MISURE MINIME DI SICUREZZA DEFINIZIONE E GESTIONE DELLE USER ID Autorizzazione informatica al trattamento Gli Incaricati del trattamento sono autorizzati a livello informatico singolarmente

Dettagli

Università degli Studi di Udine. DLGS 196/03 Gestione posto di lavoro e accesso alla struttura

Università degli Studi di Udine. DLGS 196/03 Gestione posto di lavoro e accesso alla struttura DLGS 196/03 Gestione posto di lavoro e Sommario Scopo... 3 Accesso alle aree di trattamento di dati personali... 3 Gestione e utilizzo del posto di lavoro e dei luoghi di archiviazione... 3 Particolarità

Dettagli

Firma digitale INTRODUZIONE

Firma digitale INTRODUZIONE Firma digitale INTRODUZIONE La firma digitale costituisce uno dei dieci obiettivi del Piano per l e-government. Per quanto riguarda la PA, l obiettivo, abilitante allo sviluppo dei servizi on line, si

Dettagli

www.avg.it Come navigare senza rischi

www.avg.it Come navigare senza rischi Come navigare senza rischi 01 02 03 04 05 06.Introduzione 01.Naviga in Sicurezza 02.Social Network 08.Cosa fare in caso di...? 22.Supporto AVG 25.Link e riferimenti 26 [02] 1.introduzione l obiettivo di

Dettagli

Portale per i clienti SanitasNet. Condizioni generali (CG) Edizione: Luglio 2013

Portale per i clienti SanitasNet. Condizioni generali (CG) Edizione: Luglio 2013 Portale per i clienti SanitasNet Condizioni generali (CG) Edizione: Luglio 2013 Indice 1. Preambolo 3 2. Autorizzazione di partecipazione 3 3. Accesso tecnico a SanitasNet e legittimazione 3 4. Costi 3

Dettagli

Novità operative. Data Ufficio S.p.A

Novità operative. Data Ufficio S.p.A Data Ufficio S.p.A 2 1 Summa Professionisti SUMMA 2 3 Di seguito sono spiegate le principali implementazioni relative al software. 2.1 Novità Operative 4.7.0 Le novità introdotte nella versione

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

E-Post Office Manuale utente

E-Post Office Manuale utente E-Post Office Manuale utente Versione V01.07 Edizione luglio 2014 1 Indice 1 Descrizione del servizio 3 2 Il portale di E-Post Office 4 2.1 Menu di navigazione 4 2.2 Swiss Post Box 4 2.3 Archiviazione

Dettagli

Internet in due parole

Internet in due parole Internet in due parole Versione 1.1 18-9-2002 INTERNET IN DUE PAROLE...1 VERSIONE 1.1 18-9-2002...1 COSA È INTERNET?... 2 TIPI DI CONNESSIONE.... 2 Cosa è un modem...2 ADSL...2 Linee dedicate...2 CONNESSIONE

Dettagli

Security Summit 2011 Milano

<Insert Picture Here> Security Summit 2011 Milano Security Summit 2011 Milano Information Life Cycle: il governo della sicurezza nell intero ciclo di vita delle informazioni Jonathan Brera, KPMG Advisory S.p.A. I servizi di Security

Dettagli

PROTEZIONE DEI DATI 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0

PROTEZIONE DEI DATI 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 PROTEZIONE DEI DATI 1/1 Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 Sommario 1. INTRODUZIONE... 3 2. ARCHITETTURE PER L'ACCESSO REMOTO... 3 2.1 ACCESSO REMOTO TRAMITE MODEM... 3 2.2

Dettagli

Termini di utilizzo sull utilizzo del portale Internet my.innovaphone.com della società innovaphone AG (di seguito denominata: innovaphone)

Termini di utilizzo sull utilizzo del portale Internet my.innovaphone.com della società innovaphone AG (di seguito denominata: innovaphone) Questo testo è una traduzione, in italiano e non ufficiale, delle condizioni di utilizzo del portale innovaphone my.innovaphone.com, di proprietà di innovaphone. Da questa traduzione non può derivare nessuna

Dettagli

Xerox SMart esolutions. White Paper sulla protezione

Xerox SMart esolutions. White Paper sulla protezione Xerox SMart esolutions White Paper sulla protezione White Paper su Xerox SMart esolutions La protezione della rete e dei dati è una delle tante sfide che le aziende devono affrontare ogni giorno. Tenendo

Dettagli

Guida pratica all utilizzo dei programmi InfoCamere per il Registro delle Imprese di Cagliari

Guida pratica all utilizzo dei programmi InfoCamere per il Registro delle Imprese di Cagliari Camera di Commercio, Industria Artigianato e Agricoltura di Cagliari Guida pratica all utilizzo dei programmi InfoCamere per il Registro delle Imprese di Cagliari - 2.a parte / Telemaco - aggiornata a

Dettagli

GIOVANI DOTTORI COMMERCIALISTI

GIOVANI DOTTORI COMMERCIALISTI Gestionale Integrato, tagliato su misura per gli Studi Commerciali e i Consulenti del Lavoro. ORDINE DEI DOTTORI COMMERCIALISTI E DEGLI ESPERTI CONTABILI CIRCOSCRIZIONE DEL TRIBUNALE DI LECCE FONDAZIONE

Dettagli

Servizio di Posta elettronica Certificata. Procedura di configurazione dei client di posta elettronica

Servizio di Posta elettronica Certificata. Procedura di configurazione dei client di posta elettronica Pag. 1 di 42 Servizio di Posta elettronica Certificata Procedura di configurazione dei client di posta elettronica Funzione 1 7-2-08 Firma 1)Direzione Sistemi 2)Direzione Tecnologie e Governo Elettronico

Dettagli

SIA Area Sistemi Informativi Aziendali

SIA Area Sistemi Informativi Aziendali SIA Area Sistemi Informativi Aziendali PROGETTAZIONE E SVILUPPO REGOLAMENTO DI DISCIPLINA DELL'ESERCIZIO DELLA FACOLTÀ DI ACCESSO TELEMATICO E DI UTILIZZO DEI DATI Ottobre 2014 (Ver.2.0) 1 Sommario 1.

Dettagli

MISURE MINIME DI SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI

MISURE MINIME DI SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI MISURE MINIME DI SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI D.Lgs. 196/03 artt.31-36 Allegato B Art. 31 (Obblighi di sicurezza) 1. I dati personali oggetto di trattamento sono custoditi e controllati,

Dettagli

ccredit Pagamenti sicuri senza confini. Pagamenti tramite carte al punto vendita.

ccredit Pagamenti sicuri senza confini. Pagamenti tramite carte al punto vendita. Payment Services ccredit Pagamenti sicuri senza confini. Pagamenti tramite carte al punto vendita. SIX Payment Services con ccredit offre ai suoi clienti nazionali e internazionali una soluzione di pagamento

Dettagli

BiverInTesoreria. Manuale di Attivazione. Edizione Novembre 2009

BiverInTesoreria. Manuale di Attivazione. Edizione Novembre 2009 BiverInTesoreria Manuale di Attivazione Edizione Novembre 2009 Manuale Attivazione BiverInTesoreria - Novembre 2009 INDICE 1. Requisiti preliminari 3 2. Dati per l accesso al servizio 3 3. Istruzioni per

Dettagli

(Allegato C ) Allegato C. Misure di sicurezza. Il presente allegato descrive le caratteristiche della

(Allegato C ) Allegato C. Misure di sicurezza. Il presente allegato descrive le caratteristiche della (Allegato C ) Allegato C Misure di sicurezza Il presente allegato descrive le caratteristiche della piattaforma e le misure adottate per garantire l'integrita' e la riservatezza dei dati scambiati e conservati,

Dettagli

ROTARY MILANO PORTA VITTORIA

ROTARY MILANO PORTA VITTORIA ROTARY MILANO PORTA VITTORIA INFORMATIVA SULLA PRIVACY Sito web del Rotary Milano Porta Vittoria - Informativa sulla privacy INTRODUZIONE Il Rotary Milano Porta Vittoria (di seguito "Rotary") rispetta

Dettagli

Sophos Mobile Control Guida utente per Android, Apple ios, Windows Phone

Sophos Mobile Control Guida utente per Android, Apple ios, Windows Phone Sophos Mobile Control Guida utente per Android, Apple ios, Windows Phone Versione prodotto: 5 Data documento: aprile 2015 Sommario 1 Sophos Mobile Control...4 2 Informazioni sulla guida...5 3 Accesso al

Dettagli

WebCoGe The New Software Generation

WebCoGe The New Software Generation Politica della Matrix Technology S.n.c. La MATRIX TECHNOLOGY S.n.c. azienda specializzata nell analisi, sviluppo e produzione di software si impegna a tutelare la riservatezza degli utenti che visitano

Dettagli

Ministero dello Sviluppo Economico

Ministero dello Sviluppo Economico Ministero dello Sviluppo Economico DIPARTIMENTO PER L IMPRESA E L INTERNAZIONALIZZAZIONE DIREZIONE GENERALE PER IL MERCATO, LA CONCORRENZA, IL CONSUMATORE, LA VIGILANZA E LA NORMATIVA TECNICA Divisione

Dettagli

Condizioni generali di contratto applicabili al Servizio ReKup

Condizioni generali di contratto applicabili al Servizio ReKup Condizioni generali di contratto applicabili al Servizio ReKup In vigore dal 9 dicembre 2015. 1. Descrizione del Servizio. Il servizio denominato ReKup (in seguito indicato come Servizio ) è un servizio

Dettagli

Navigazione controllata

Navigazione controllata Easyserver nasce come la più semplice soluzione dedicata alla sicurezza delle reti ed al controllo della navigazione sul web. Semplice e flessibile consente di controllare e monitorare il corretto uso

Dettagli

Comprensione dello scopo dei requisiti

Comprensione dello scopo dei requisiti Payment Card Industry (PCI) Data Security Standard Navigazione in PCI DSS Comprensione dello scopo dei requisiti Versione 2.0 ottobre 2010 Modifiche del documento Data Versione Descrizione 1 ottobre 2008

Dettagli

Il calendario dell avvento pensa alla sicurezza: 24 consigli per computer, tablet e smartphone

Il calendario dell avvento pensa alla sicurezza: 24 consigli per computer, tablet e smartphone Articolo Il calendario dell avvento pensa alla sicurezza: 24 consigli per computer, tablet e smartphone 24 consigli dagli esperti di Kaspersky Lab per proteggere i tuoi dispositivi che si collegano a Internet.

Dettagli

Certificati Digitali e sicurezza di SSL/TLS

Certificati Digitali e sicurezza di SSL/TLS ICT Security n. 35, Giugno 2005 p. 1 di 5 Certificati Digitali e sicurezza di SSL/TLS Nei precedenti articoli abbiamo descritto il protocollo SSL/TLS, in particolare la versione TLSv1.0, ed accennato ad

Dettagli

Vantaggi dell archiviazione delle e-mail

Vantaggi dell archiviazione delle e-mail Vantaggi dell archiviazione delle e-mail La posta elettronica non è soltanto un importante mezzo di comunicazione, ma anche una delle risorse di informazioni più ampie e valide. Generalmente, le informazioni

Dettagli

LA TELEMATIZZAZIONE DELLE DICHIARAZIONI INTRASTAT

LA TELEMATIZZAZIONE DELLE DICHIARAZIONI INTRASTAT Gruppo di lavoro Operazioni doganali e intracomunitarie Consiglio Compartimentale degli Spedizionieri Doganali Piemonte Valle D Aosta Gruppo di lavoro Operazioni doganali e intracomunitarie Venerdì, 5

Dettagli

CNIPA. "Codice privacy" Il Documento Programmatico di Sicurezza. 26 novembre 2007. Sicurezza dei dati

CNIPA. Codice privacy Il Documento Programmatico di Sicurezza. 26 novembre 2007. Sicurezza dei dati CNIPA "Codice privacy" 26 novembre 2007 Sicurezza dei dati Quando si parla di sicurezza delle informazioni, i parametri di riferimento da considerare sono: Integrità Riservatezza Disponibilità 1 I parametri

Dettagli

LACIE PRIVATE/PUBLIC GUÍDA UTENTE

LACIE PRIVATE/PUBLIC GUÍDA UTENTE LACIE PRIVATE/PUBLIC GUÍDA UTENTE FARE CLIC QUI PER ACCEDERE ALLA VERSIONE IN LINEA PIÙ AGGIORNATA di questo documento, sia in termini di contenuto che di funzioni disponibili, come ad esempio illustrazioni

Dettagli

PARTE 1. La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone

PARTE 1. La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone PARTE 1 La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 2 PCI Security Standards Council 2004 A Dicembre viene pubblicata la versione 1.0 della PCI- DSS, gestita da VISA e MasterCard

Dettagli

GESTIONE DELLA E-MAIL

GESTIONE DELLA E-MAIL GESTIONE DELLA E-MAIL Esistono due metodologie, completamente diverse tra loro, in grado di consentire la gestione di più caselle di Posta Elettronica: 1. tramite un'interfaccia Web Mail; 2. tramite alcuni

Dettagli

Termini e condizioni - Leonardo AdvantageCLUB

Termini e condizioni - Leonardo AdvantageCLUB Termini e condizioni - Leonardo AdvantageCLUB 1. Generalità L adesione al programma di fidelizzazione Leonardo AdvantageCLUB e ai suoi benefici viene offerta da Sunflower Management GmbH & Co. KG, Landsberger

Dettagli

Indice Introduzione... 3 Primo utilizzo del prodotto... 4 Backup dei file... 6 Ripristino dei file di backup... 8

Indice Introduzione... 3 Primo utilizzo del prodotto... 4 Backup dei file... 6 Ripristino dei file di backup... 8 Manuale dell utente Indice Introduzione... 3 Panoramica di ROL Secure DataSafe... 3 Funzionamento del prodotto... 3 Primo utilizzo del prodotto... 4 Attivazione del prodotto... 4 Avvio del primo backup...

Dettagli

Ministero dello Sviluppo Economico

Ministero dello Sviluppo Economico Ministero dello Sviluppo Economico DIPARTIMENTO PER L IMPRESA E L INTERNAZIONALIZZAZIONE DIREZIONE GENERALE PER IL MERCATO, LA CONCORRENZA, IL CONSUMATORE, LA VIGILANZA E LA NORMATIVA TECNICA Divisione

Dettagli

1.1 - Crittografia sulla infrastruttura trasmissiva tra le stazioni remote Rilheva il centro di telecontrollo

1.1 - Crittografia sulla infrastruttura trasmissiva tra le stazioni remote Rilheva il centro di telecontrollo SISTEMA DI TELECONTROLLO RILHEVA GPRS (CARATTERISTICHE DEL VETTORE GPRS E SICUREZZE ADOTTATE) Abstract: Sicurezza del Sistema di Telecontrollo Rilheva Xeo4 ha progettato e sviluppato il sistema di telecontrollo

Dettagli

InfoCert progetta e sviluppa servizi e soluzioni di alto livello per la dematerializzazione, gestione e trasmissione dei documenti.

InfoCert progetta e sviluppa servizi e soluzioni di alto livello per la dematerializzazione, gestione e trasmissione dei documenti. InfoCert progetta e sviluppa servizi e soluzioni di alto livello per la dematerializzazione, gestione e trasmissione dei documenti. Con pieno valore legale. 2 InfoCert InfoCert. Garanzia di soluzioni.

Dettagli

ACTA Area Software www.actaareasoftware.com. Privacy: cosa fare? febbraio 2008

ACTA Area Software www.actaareasoftware.com. Privacy: cosa fare? febbraio 2008 Privacy: cosa fare? febbraio 2008 Da un pò di tempo professionisti, commercianti, artigiani, avvocati, commercialisti, imprese, società, associazioni si chiedono: "Ma cosa bisogna fare per la privacy?

Dettagli

CONDIZIONI GENERALI DI VENDITA L offerta e la vendita di prodotti sul sito web www.emminailitalia.it sono regolate dalle seguenti Condizioni Generali

CONDIZIONI GENERALI DI VENDITA L offerta e la vendita di prodotti sul sito web www.emminailitalia.it sono regolate dalle seguenti Condizioni Generali CONDIZIONI GENERALI DI VENDITA L offerta e la vendita di prodotti sul sito web www.emminailitalia.it sono regolate dalle seguenti Condizioni Generali di Vendita. I prodotti acquistati sul Sito sono realizzati

Dettagli

Sophos Mobile Control Guida utenti per Apple ios. Versione prodotto: 4

Sophos Mobile Control Guida utenti per Apple ios. Versione prodotto: 4 Sophos Mobile Control Guida utenti per Apple ios Versione prodotto: 4 Data documento: maggio 2014 Sommario 1 Sophos Mobile Control...3 2 Informazioni sulla guida...4 3 Accesso al portale self-service...5

Dettagli