Cerca nel sito Italiano

Overview

Standard di sicurezza dei dati per gli Esercenti

Chiunque elabori, memorizzi o trasmetta, informazioni sui Titolari di Carta deve adottare tutte le precauzioni possibili al fine di proteggere i clienti e la propria attività.
L'implementazione degli Standard sulla sicurezza dei dati attraverso l'adeguamento alle Norme operative per la sicurezza dei dati (DSOP) accresce il livello di tutela dei clienti e della vostra azienda.
Clicca qui per consultare Norme operative per la sicurezza dei dati.

In qualità di componente del PCI Security Standards Council, American Express ha offerto un contributo fondamentale allo sviluppo del PCI Data Security Standard, in cui si definiscono le varie modalità di protezione dei dati dei Titolari di Carta.

Clicca qui per visualizzare gli Standard per la sicurezza dei dati

Obbligo di notifica ad American Express

Come illustrato dettagliatamente nelle Norme operative per la sicurezza dei dati, gli Esercenti qualora sospettino che le informazioni dei Titolari di Carta siano state consultate o utilizzate senza autorizzazione, gli stessi Esercenti sono tenuti a:

    1.  darne immediata notifica ad American Express;

    2.  collaborare con American Express e i suoi revisori affinché sia possibile condurre un'indagine completa sull'episodio;

    3.  fornire tutte le informazioni necessarie e richieste, nonché seguire tutte le istruzioni ricevute da American Express in merito.

Se ritenete che si sia verificata una compromissione dei dati dei Titolari di Carta, contattate il vostro Responsabile Clienti o chiamate il nostro Team per l'Assistenza ai Clienti Esercizi Convenzionati al Numero Verde 800 919 019 o al numero +39 06.72 490. È possibile avvisare l'American Express Enterprise Incident Response Program (EIRP) dopo avere compilato l'Initial Notice Form (Modulo per la Prima Notifica) e averlo spedito per e-mail a EIRP@aexp.com.
Per evitare di incorrere in ulteriori episodi di compromissione di dati:

    1.  se ritenete o sospettate che si sia verificato un episodio di compromissione dei dati, informate immediatamente American Express;

    2.  verificate di essere conformi alle Norme operative per la sicurezza dei dati di American Express;

    3.  verificate che l'episodio non sia imputabile a condotta illecita vostra o di uno dei vostri dipendenti o agenti.

Livello degi Esercenti

Individuazione del livello degli Esercenti

Ai fini dell'individuazione dei requisiti di sicurezza da implementare, gli Esercenti American Express sono classificati in tre livelli distinti sulla base del volume di transazioni effettuate con American Express. I requisiti di sicurezza dei dati variano a seconda del livello di appartenenza. La tabella seguente consente di determinare il proprio livello e mostra i relativi requisiti di conformità richiesti dalle Norme operative per la sicurezza dei dati di American Express.



* Gli Esercenti di Livello 3 non sono tenuti a presentare la documentazione comprovante la convalida, tuttavia ciò non li solleva dall'obbligo di rispettare tutte le altre Norme operative per la sicurezza dei dati. Clicca qui per consultare le Norme operative per la sicurezza dei dati. (PDF).

Obbligo di notifica ad American Express

Come illustrato dettagliatamente nelle Norme operative per la sicurezza dei dati, gli Esercenti qualora sospettino che le informazioni dei Titolari di Carta siano state consultate o utilizzate senza autorizzazione, gli stessi Esercenti sono tenuti a:

    4.  darne immediata notifica ad American Express;

    5.  collaborare con American Express e i suoi revisori affinché sia possibile condurre un'indagine completa sull'episodio;

    6.  fornire tutte le informazioni necessarie e richieste, nonché seguire tutte le istruzioni ricevute da American Express in merito.

Se ritenete che si sia verificata una compromissione dei dati dei Titolari di Carta, contattate il vostro Responsabile Clienti o chiamate il nostro Team per l'Assistenza ai Clienti Esercizi Convenzionati al Numero Verde 800 919 019 al numero +39 06.72 490. È possibile avvisare l'American Express Enterprise Incident Response Program (EIRP) dopo avere compilato l'Initial Notice Form (Modulo per la Prima Notifica) e averlo spedito per e-mail a EIRP@aexp.com.
Per evitare di incorrere in ulteriori episodi di compromissione di dati:

    4.  se ritenete o sospettate che si sia verificato un episodio di compromissione dei dati, informate immediatamente American Express;

    5.  verificate di essere conformi alle Norme operative per la sicurezza dei dati di American Express;

    6.  verificate che l'episodio non sia imputabile a condotta illecita vostra o di uno dei vostri dipendenti o agenti.

Requisiti di conformità

Requisiti di conformità per gli Esercenti

Tutti gli Esercenti sono tenuti a rispettare le di American Express, incluso lo standard di sicurezza dei dati. (Standard PCI). Inoltre, alcuni Esercenti potrebbero essere tenuti ad adottare ulteriori misure di protezione dei dati.

La fase 1 comporta l'individuazione del livello dell' Esercente e dei relativi requisiti di conformità. Consultate la tabella sui livelli degli Esercizi per individuare il vostro livello di appartenenza.
Una volta identificato il livello di appartenenza potreste dover fornire, l'uno e/o l'altro dei documenti seguenti:

Controllo di sicurezza annuale eseguito in sede
Il controllo di sicurezza annuale eseguito in sede consiste in un accurato esame dell'attrezzatura, dei sistemi e delle reti (nonché dei relativi componenti) utilizzati dall'Esercente per elaborare, memorizzare o trasmettere le informazioni dei Titolari di Carta.

Scansione trimestrale della rete
La scansione trimestrale della rete è una procedura che controlla in remoto le reti di computer connessi a Internet e i server Web dell'Esercente per individuarne eventual punti deboli e vulnerabilità. Tale procedura deve essere eseguita da un consulente per la sicurezza indipendente approvato da American Express.

La fase 2 prevede l'invio della documentazione comprovante la convalida nel formato richiesto su compact disc, come illustrato nelle Norme operative per la sicurezza dei dati, al seguente indirizzo:

American Express Payment Services Limited
GNO Data Security Unit
PO Box 54886
London, SW1W OYW
United Kingdom

lnadempienza e risoluzione dell'Accordo di accettazione della Carta
Gli Esercenti che non ottemperino a tale norma inviando la necessaria documentazione di convalida, rischiano di essere tenuti al pagamento di penali e incorrere nella risoluzione dell'Accordo di accettazione della Carta American Express.

Obbligo di notifica ad American Express

Come illustrato dettagliatamente nelle Norme operative per la sicurezza dei dati, gli Esercenti qualora sospettino che le informazioni dei Titolari di Carta siano state consultate o utilizzate senza autorizzazione, gli stessi Esercenti sono tenuti a:

    7.  darne immediata notifica ad American Express;

    8.  collaborare con American Express e i suoi revisori affinché sia possibile condurre un'indagine completa sull'episodio;

    9.  fornire tutte le informazioni necessarie e richieste, nonché seguire tutte le istruzioni ricevute da American Express in merito.

Se ritenete che si sia verificata una compromissione dei dati dei Titolari di Carta, contattate il vostro Responsabile Clienti o chiamate il nostro Team per l'Assistenza ai Clienti al numero +39 06.72 490. è possibile avvisare l'American Express Enterprise Incident Response Program (EIRP) dopo avere compilato l'Initial Notice Form (Modulo per la Prima Notifica) e averlo spedito per e-mail a EIRP@aexp.com.
Per evitare di incorrere in ulteriori episodi di compromissione di dati:

    7.  se ritenete o sospettate che si sia verificato un episodio di compromissione dei dati, informate immediatamente American Express;

    8.  verificate di essere conformi alle Norme operative per la sicurezza dei dati di American Express;

    9.  verificate che l'episodio non sia imputabile a condotta illecita vostra o di uno dei vostri dipendenti o agenti.