Direttiva sul trattamento dei dati delle carte di credito legato

Direttiva sul trattamento dei dati delle carte di credito legato alla fornitura di
servizi di pernottamento
1. Preambolo
In aggiunta alla Direttiva concernente il rispetto delle prescrizioni di sicurezza della Payment Card Industry («Direttiva PCI») di Aduno SA,
la presente direttiva soddisfa le esigenze e copre i rischi specifici del settore alberghiero.
2. Campo di applicazione
La «Direttiva sul trattamento dei dati delle carte di credito legato alla fornitura di servizi di pernottamento» è vincolante per tutti i partner
contrattuali (PC) di Aduno che offrono servizi di pernottamento ed è parte integrante del contratto di accettazione per le transazioni in presenza
del titolare e/o le transazioni a distanza. La direttiva include anche eventuali commissionari o fornitori del partner contrattuale nella misura in cui
quest’ultimi processano o memorizzano a titolo permanente o temporaneo per conto del PC i dati sensibili delle carte di pagamento. Il PC
s’impegna a vincolare a sua volta eventuali fornitori terzi a osservare gli obblighi derivanti dalla presente direttiva e a controllare che tali obblighi
siano rispettati.
3. Certificazione PCI DSS (Payment Card Industry Data Security Standard)
A prescindere dal numero di transazioni, il partner contrattuale è tenuto a rispettare in qualsiasi momento le direttive in materia di sicurezza
secondo il Payment Card Industry Data Security Standard (in seguito «PCI DSS»), oltre che a ottenere e rispettare in qualsiasi momento il relativo
certificato PCI DSS. Le misure necessarie per ottenere la certificazione sono spiegate nei dettagli nella Direttiva PCI di Aduno.
Il partner contrattuale è tenuto a comunicare regolarmente e di sua spontanea volontà ad Aduno i risultati delle misure di certificazione, che
prevedono la messa a disposizione del Report on Compliance (se previsto come misura di certificazione), i risultati dei Network Scan (se previsto
come misura di certificazione) e il Self Assessment Questionnaire.
Il PC è tenuto a informare Aduno immediatamente e di sua spontanea volontà nel caso in cui il grado di certificazione PCI DSS non possa essere
mantenuto (a causa di modifiche di sistema, risultati negativi nel processo di certificazione o simili).
Ai partner contrattuali non ancora in possesso di un certificato PCI DSS viene concesso un periodo derogatorio fino al 1° settembre 2013.
Se il partner contrattuale non riuscirà a produrre una certificazione PCI DSS entro il 1° settembre 2013, Aduno è autorizzata a sciogliere senza
preavviso il contratto di accettazione per le transazioni in presenza del titolare e/o le transazioni a distanza.
4. Password di accesso
Il partner contrattuale è tenuto a proteggere mediante password di accesso tutte le applicazioni e i sistemi connessi all’uso dei dati delle carte.
È espressamente vietato utilizzare le password impostate di default dal produttore. Tutte le password devono essere modificate almeno ogni
trimestre e avere un livello di complessità sufficiente (lettere, cifre, caratteri speciali).
5. Impiego di applicazioni legate all’uso dei dati delle carte
Il partner contrattuale è tenuto a utilizzare e/o gestire esclusivamente applicazioni che a parte l’immediato processo di autorizzazione non
memorizzano a titolo permanente o temporaneo i dati sensibili delle carte (dati presenti sulla banda magnetica, CVC2/CVV2).
Al partner contrattuale non è concesso utilizzare applicazioni gestite a titolo commerciale da terzi (p.es. su licenza) se quest’ultimi non sono in
possesso di una certificazione Payment Application Data Security Standard (in seguito «PA DSS»). Tale regola vale soprattutto, ma non
esclusivamente, in relazione all’uso di software gestionali per alberghi (Property Management System), moduli integrativi (p.es. cCredit)
o interfacce per casse che processano i dati delle carte. Le versioni in uso di queste applicazioni devono avere imperativamente una certificazione
PA DSS.
Un’azienda del Gruppo Aduno
www.aduno-gruppe.ch
6. Divieto di memorizzazione dei dati
Al partner contrattuale non è concesso memorizzare o conservare in forma elettronica e/o fisica i dati sensibili delle carte (dati presenti sulla banda
magnetica, CVC2/CVV2, dati del PIN).
7. Limiti alla memorizzazione dei dati
Il partner contrattuale è autorizzato a memorizzare o conservare i dati non sensibili delle carte (numero della carta, data di scadenza) solo alle
seguenti condizioni:
- la memorizzazione elettronica è concessa solo in presenza di una certificazione PCI DSS e di un accordo scritto da parte di Aduno;
- la conservazione fisica è concessa solo in un ambiente particolarmente protetto (sotto chiave e con accesso protetto), e solo per un
periodo limitato necessario ai fini commerciali. Al termine del periodo di conservazione i documenti devono essere interamente distrutti
in modo appropriato.
8. Portali di contabilità, sistemi di prenotazione online e channel manager
Aduno consiglia urgentemente di collaborare esclusivamente con i portali di contabilità, i sistemi di prenotazione online e i channel manager che
non processano i dati delle carte, o che sono accettati dalle emittenti di carte di pagamento internazionali e sono in possesso di una certificazione
valida PCI DSS. I portali di contabilità, i sistemi di prenotazione online e i channel manager autorizzati dalle emittenti di carte di pagamento sono
pubblicati all’indirizzo https://www.visamerchantagents.com.
Aduno SA, Via Argine 5, 6930 Bedano, 058 958 86 88, [email protected], www.aduno.ch/pci
A_PCI_DSS_Weisung_IT_1210