PCI DSS per le non profit: proteggere la tua raccolta fondi online
Per PCI DSS (Payment Card Industry Data Security Standard) si intende lo standard di sicurezza dei dati dell'industria delle carte di pagamento, uno standard di sicurezza internazionale creato dai principali circuiti di carte di pagamento (Visa, Mastercard, American Express, Discover e JCB) per proteggere i dati dei titolari di carta e ridurre le frodi.
Lo standard PCI DSS definisce un insieme di regole di sicurezza e requisiti tecnici e organizzativi che si applicano a qualsiasi organizzazione che archivi, elabori o trasmetta dati relativi a carte di pagamento. Il suo obiettivo è proteggere i donatori da frodi e fughe di dati e garantire un elevato livello di fiducia nei pagamenti online.
Si applica, quindi, a qualsiasi entità che accetta pagamenti con carta, comprese le organizzazioni non profit quando raccolgono donazioni online.
Per gli enti non profit, questo standard è particolarmente importante: ogni volta che si gestiscono donazioni online o si organizza una campagna di fundraising, vengono gestite informazioni sensibili sui donatori. Il mancato rispetto di questo standard può esporre un'organizzazione a rischi finanziari (multe, costi aggiuntivi) e ad una perdita di fiducia da parte dei donatori.
La storia del PCI DSS in breve:
2004
Le basi dello standard furono gettate da Visa, MasterCard, Amex, JCB e Discover.
2006 (v1.0)
Viene formato il Payment Card Industry Security Standards Council (PCI SSC), ovvero il Consiglio per gli Standard di Sicurezza PCI, che a sua volta introduce il primo set ufficiale di 12 requisiti di sicurezza.
2010 (v2.0)
Lo standard si evolve per affrontare nuovi rischi e minacce, nonché lo sviluppo di nuove tecnologie.
2013 (v3.0)
Questa versione ha introdotto il concetto di sicurezza come processo continuo. Ha rafforzato il controllo e la gestione degli accessi, delle vulnerabilità e dei fornitori terzi.
2022 (v4.0)
Il passaggio dalla versione 3 alla versione 4 ha evidenziato la necessità di processi di sicurezza continui, con una maggiore attenzione ai rischi legati al Cloud. Questo importante aggiornamento ha anche imposto l’autenticazione a più fattori e la Crittografia TLS 1.2+.
2024
Sono stati chiariti alcuni aspetti complessi della norma. La versione 4 è diventata il riferimento, con alcuni nuovi requisiti introdotti gradualmente fino al 2025.
I 6 principi PCI DSS per proteggere le tue donazioni online
Lo standard PCI DSS è suddiviso in 6 principi fondamentali, ciascuno con requisiti associati (12 in totale). Questi principi strutturano lo standard e definiscono regole pratiche e dettagliate per raggiungere la conformità.
| Principio (Obiettivo) | Requisiti associati |
|
1. Costruire e mantenere una rete e sistemi sicuri Assicurati che il tuo sito, le piattaforme di raccolta fondi e gli strumenti per le donazioni online siano protetti (firewall, certificati SSL). Gestisci la sicurezza delle password. |
1. Installare e mantenere una configurazione firewall per proteggere i dati dei titolari di carta. 2. Non utilizzare le impostazioni predefinite date dal fornitore di password di sistema e altre impostazioni di sicurezza. |
|
2. Proteggere i dati del titolare della carta Non memorizzare mai i dati della carta. Affida l'elaborazione ad un fornitore certificato e utilizza connessioni sicure (HTTPS). |
3. Proteggere i dati memorizzati dei titolari di carta e non memorizzare personalmente i numeri delle carte. 4. Crittografare la trasmissione dei dati dei titolari di carta su reti pubbliche e aperte. Tutti i form di donazione e le pagine di raccolta fondi online devono utilizzare HTTPS. |
|
3. Mantenere un programma di gestione delle vulnerabilità Identifica e risolvi le falle di sicurezza. Aggiorna regolarmente software, CMS e plugin. Installa un antivirus per ridurre i rischi di intrusione o hacking. |
5. Utilizzare e aggiornare regolarmente il software antivirus. 6. Sviluppare e mantenere sistemi e applicazioni sicuri. |
|
4. Implementare misure di controllo degli accessi rigorose Controlla chi ha accesso ai dati e limita l'accesso agli strumenti di donazione e alle informazioni sensibili solo a chi ne ha bisogno. Crea account individuali sicuri. |
7. Limitare l'accesso ai dati alle sole persone in azienda che ne hanno effettivamente bisogno. 8. Assegnare un ID univoco ad ogni persona con accesso al computer. 9. Limitare l'accesso fisico ai dati del titolare della carta. |
|
5. Monitorare e testare regolarmente le reti Controlla regolarmente le connessioni e le attività sospette. Testa periodicamente l'intero processo di donazione per assicurarti che funzioni in modo sicuro. |
10. Monitorare e tenere traccia di tutti gli accessi alle risorse di rete e ai dati dei titolari di carta (ad esempio, controllando gli accessi al back-office e rilevando comportamenti sospetti). 11. Testare regolarmente i sistemi e i processi di sicurezza. |
|
6. Mantenere una politica di sicurezza delle informazioni Stabilisci regole semplici (password, segnalazioni email) e forma personale, volontari e dipendenti sulle best practice. Ad esempio, è vietato raccogliere manualmente i dati delle carte di credito dal titolare. |
12. Mantenere una politica che affronti la sicurezza delle informazioni per tutto il personale. |
Punti chiave per una raccolta fondi online sicura:
-
Qualsiasi organizzazione che accetti pagamenti con carta (sito di e-commerce, non profit che raccoglie fondi online, piattaforma di ticketing, ecc.) deve garantire la conformità allo standard PCI DSS.
-
Il livello di certificazione dipende dal volume annuo delle transazioni. Per le organizzazioni non profit con elevati volumi di donazioni online, sono richiesti controlli più rigorosi per garantire la completa protezione dei dati.
-
iRaiser offre ai propri clienti una soluzione di pagamento integrata: l'iRaiser Payment System, per gestire tutti gli aspetti dell'elaborazione dei pagamenti. Semplifica il processo di donazione, ottimizza i tassi di conversione e riduce i pagamenti non andati a buon fine, fornendo al contempo informazioni dettagliate sulla gestione finanziaria.
Per soddisfare i requisiti di sicurezza, collaboriamo con un'ampia gamma di fornitori di servizi di pagamento certificati per garantire che le donazioni vengano elaborate in modo sicuro, affidabile ed efficiente.
La conformità PCI DSS è solo uno dei fattori da considerare quando si tratta di proteggere i propri donatori e garantire la sicurezza della propria strategia di raccolta fondi online. Oltre ai dati di pagamento, le associazioni affrontano anche rischi più ampi legati ad attacchi informatici, phishing e violazioni dei dati.
Per saperne di più, leggi il nostro articolo: Sicurezza informatica: come proteggere la tua organizzazione?