Connect Srl

CARDHOLDER PCI DSS

Close up of credit cards over grey background

IL CLIENTEimage001

DVR Italia nasce come spin off dei servizi tecnologici di un’importante azienda di call e contact center, con lo scopo di sviluppare le conoscenze accumulate e di metterle a disposizione del mercato.

La grande esperienza maturata nella gestione di database, nella cultura del CRM e della gestione della relazione “one to one” ha permesso a DVR di realizzare nel tempo prodotti e servizi contraddistinti sempre dalla massima completezza e potenza, unite ad una straordinaria semplicità d’uso.

UN NUOVO DATACENTER CERTIFICATO PCI DSS

L’obiettivo del cliente era la costruzione, presso un datacenter di Milano, di una infrastruttura di sicurezza informatica e di rete in grado di rispettare gli standard della certifica PCI DSS.  Questo poiché il cliente dispone di software proprietari che hanno la necessità di archiviare informazioni riguardanti carte di credito e pertanto è necessario rispettare determinati standard mondiali.

Le richieste del cliente sono state pertanto le seguenti:

  • Costruzione di un sistema di sicurezza con triplo bastione firewall
  • Separazione dei servizi in reti di DMZ, reti di sviluppo e produzione
  • Ridondanza e flessibilità della parte network
  • Rispetto degli standard PCI-DSS in materia di architettura e sicurezza

CERTIFICAZIONE PCI DSS       image002

Lo standard PCI-DSS (Payment Card Industry Data Security Standard) è stato elaborato con lo scopo di uniformare le modalità di gestione della sicurezza dei dati delle carte di credito da parte del consorzio PCI creato da American Express, Discover Financial Services, JCB, MasterCard Worldwide e Visa International.

L’Ente responsabile degli standard di protezione PCI è un forum globale aperto, costituito nel 2006, che si occupa di sviluppo, gestione, informazione e diffusione degli standard di protezione PCI, compresi i seguenti requisiti: Standard di protezione dei dati (DSS), Standard di protezione dei dati per le applicazioni di pagamento (PA-DSS) e Sicurezza delle transazioni PIN (PTS).

I cinque membri fondatori hanno concordato di includere PCI DSS come requisito tecnico per tutti i loro programmi di conformità alla sicurezza dei dati. Ogni membro fondatore riconosce inoltre la validità per la conformità a PCI DSS dei QSA e degli ASV certificati dall’Ente responsabile degli standard di protezione PCI.

image003IL PROGETTO

L’obiettivo del progetto è la costruzione di un’infrastruttura di sicurezza informatica in grado di rispettare sia dal punto di vista dell’architettura che della configurazione tutti i dettami della certificazione PCI-DSS.

L’infrastruttura doveva essere funzionante per la messa in servizio e pronta per essere sottoposta alle verifiche dell’ente di certificazione.

IL VALORE AGGIUNTO DI CONNECT

La soluzione proposta al cliente prevedeva tempi rapidi di messa in produzione dell’infrastruttura che si dovevano coniugare con la necessità di sottostare alle specifiche imposte dello standard.

Il valore aggiunto introdotto da Connect è stato l’utilizzo delle competenze in ambito sicurezza informatica unito al lavoro di squadra per soddisfare la qualità e la rapidità richiesta dal cliente.

Le caratteristiche generali della soluzione sono inoltre le seguenti:

  • Architettura con triplo livello di sicurezza
  • Utilizzo di tecnologia IPS e AV sul perimetro
  • Segregazione a livello 2 e 3 delle reti
  • Utilizzo di tecnologia stacking per la parte network
  • Utilizzo di tecnologia cluster per la parte di security
  • Creazione degli opportuni servizi di rete (AAA, NTP, SYSLOG, ecc…)
  • Rispetto dello standard PCI-DSS

RISULTATI OTTENUTI

L’adozione della nuova infrastruttura ha permesso di:image004

  • Conseguire la certifica PCI-DSS per l’infrastruttura in oggetto
  • Mettere in produzione in tempi rapidi i nuovi servizi appoggiati alla struttura in Datacenter
  • Aumentare l’efficienza, la sicurezza e le prestazioni verso i clienti finali di DVR Italia rispetto ai servizi messi a disposizione da quest’ultimi