Procedura operativa di sicurezza dei dati (DSOP)

Icone di modifica

Gli aggiornamenti importanti sono elencati nella Tabella di Riepilogo delle modifiche, e indicati inoltre nella DSOP con un'icona di modifica. Un'icona di modifica accanto al titolo di un Articolo o di un Comma indica un testo revisionato, aggiunto o rimosso da tale Articolo o Comma. Le modifiche nella DSOP sono indicate con una icona di modifica come riportato a sinistra .

Tabella di riepilogo delle modifiche

Gli aggiornamenti importanti sono elencati nella seguente tabella e indicati inoltre nelle DSOP con un'icona di modifica.

Articolo/Comma

Descrizione della modifica

Articolo 4, "      Oneri di Risarcimento per Incidenti con i Dati"

Aggiornato il riferimento all'Articolo 3 Oneri nella Gestione degli Incidenti con i Dati.

Articolo 5, "      Importante Convalida periodica dei Sistemi in uso"

Chiariti i diritti di American Express di richiedere un QSA o PFI.

 

Cosa fare in caso di Incidente con i dati?

L'Esercizio dovrà seguire queste fasi se identifica un Incidente con i dati all'interno della sua azienda.

Vedere Articolo 3, "      Oneri nella Gestione degli Incidenti con i Dati" per ulteriori dettagli sugli Oneri nella gestione degli Incidenti con i dati.

Ci sono ulteriori domande?

Stati Uniti: (888) 732-3750 (numero verde)

Altri Paesi: +1 (602) 537-3021

EIRP@aexp.com

 

American Express, società leader nella tutela dei propri utenti, è da tempo impegnata nella protezione dei Dati dei Titolari di Carta e dei Dati sensibili di autenticazione, garantendone l'inviolabilità.

IMR-DSOP00525.png

 

La compromissione dei Dati produce effetti negativi su consumatori, Esercizi, Fornitori di servizi e società emittenti della Carta. Anche un solo incidente può compromettere seriamente la reputazione di una società e pregiudicarne la capacità di condurre affari in maniera efficace. Affrontare questa minaccia mettendo in atto procedure operative di sicurezza idonee può essere utile per accrescere la fiducia dei clienti, incrementare la redditività e migliorare la reputazione dell'azienda.

American Express sa di condividere questa preoccupazione con Esercizi e Fornitori di servizi (collettivamente, indicati di seguito con il termine voi) e, nell'ambito delle loro rispettive responsabilità, chiede a questi ultimi di osservare le disposizioni in materia di sicurezza dei Dati indicate nell'Accordo relativamente all'accettazione (nel caso degli Esercizi) o all'emissione (nel caso dei Fornitori di servizi) della Carta American Express® (entrambe tali disposizioni indicate di seguito con il termine l'Accordo) e la presente Procedura operativa di sicurezza dei Dati, che può occasionalmente subire rettifiche. Tali requisiti si applicano a tutte le apparecchiature, i sistemi e le reti (e i loro rispettivi componenti) per mezzo dei quali sono conservati, elaborati o trasmessi chiavi crittografiche, dati del Titolare di Carta o Dati sensibili di autenticazione (o una combinazione di questi).

IMR-DSOP00527.png

 

I termini utilizzati in maiuscolo, se non vengono definiti nel testo precedente, hanno il significato indicato nelle Definizioni alla fine del presente documento.

 

Articolo 1      Programma di analisi mirata (TAP)

La compromissione dei Dati del Titolare della Carta può essere causata da lacune nella sicurezza dei dati dell'Ambiente Dati del Titolare della Carta (CDE) dell'Esercizio. 

Esempi di compromissione dei Dati del Titolare della Carta comprendono, ma non sono limitati a quanto segue:

Il TAP è stato progettato per identificare potenziali compromissioni dei dati del Titolare della Carta.

L'Esercizio dovrà conformarsi e dovrà far sì che tutti i soggetti di cui sia responsabile l'Esercizio stesso si conformino ai seguenti requisiti, in caso di notifica, da parte di American Express, di una potenziale compromissione dei Dati del Titolare della Carta.

§L'Esercizio dovrà far sì che i suoi venditori terzi effettuino una accurata verifica del suo CDE se questo è realizzato in outsourcing.

§Non riescano a risolvere la compromissione dei Dati del Titolare della Carta entro un periodo di tempo ragionevole, determinato da American Express, oppure

§Confermino che si è verificato un Incidente con i dati e si conformino ai requisiti stabiliti nell'Articolo 3, "      Oneri nella Gestione degli Incidenti con i Dati".

Oneri in caso di non conformità al TAP

Descrizione

Esercizio o Fornitore di servizi di 1˚ Livello

Esercizio o Fornitore di servizi di 2˚ Livello

Esercizio di 3˚ o 4˚ Livello

Potrebbe essere calcolata una penale di non conformità in caso di mancato soddisfacimento degli obblighi TAP entro la prima data di scadenza.

USD 25.000

USD 5.000

USD 1.000

Potrebbe essere calcolata una penale di non conformità in caso di mancato soddisfacimento degli obblighi TAP entro la seconda data di scadenza.

USD 35.000

USD 10.000

USD 2.500

Potrebbe essere calcolata una penale di non conformità in caso di mancato soddisfacimento degli obblighi TAP entro la terza data di scadenza.

NOTA:Gli oneri di non conformità potranno continuare ad essere applicati fino a quando gli obblighi non saranno soddisfatti o non sarà risolto il TAP.

USD 45.000

USD 15.000

USD 5.000

Se gli obblighi dell'Esercizio previsti dal TAP non saranno soddisfatti, American Express avrà il diritto di imporre gli Oneri di non conformità in modo cumulativo, trattenere pagamenti e/o porre termine all'Accordo.

Articolo 2      Standard per la protezione di Chiavi crittografiche, Dati del Titolare di Carta e Dati sensibili di autenticazione

Voi, e solidalmente le Parti contemplate, siete tenuti a:

Siete tenuti a proteggere tutta la Documentazione di Addebito e Accredito American Express, conservata in conformità con quanto stabilito dall'Accordo secondo le presenti disposizioni in materia di sicurezza dei Dati; tale documentazione deve essere utilizzata esclusivamente per le finalità dell'Accordo e salvaguardata di conseguenza. Siete responsabili finanziariamente e per altri aspetti nei confronti di American Express nel garantire che le Parti contemplate agiscano in conformità con le presenti disposizioni in materia di sicurezza dei Dati (fatta salva la capacità di dimostrare l'osservanza della presente procedura ad opera delle Parti contemplate secondo l'Articolo 5, "      Importante Convalida periodica dei Sistemi in uso", a meno che sia presente diversa disposizione in tale articolo).

Articolo 3      Oneri nella Gestione degli Incidenti con i Dati

Siete tenuti a comunicare ad American Express eventuali Incidenti con i Dati immediatamente, e comunque non oltre settantadue (72) ore dalla loro scoperta.

Per le comunicazioni ad American Express, contattate l'American Express Enterprise Incident Response Programme (EIRP) al numero telefonico +1 (602) 537-3021 (il segno + indica il prefisso di chiamata internazionale diretta o "IDD"; tariffazione internazionale applicabile), o via e-mail all'indirizzo di posta elettronica EIRP@aexp.com. L'Esercizio dovrà nominare un responsabile come suo contatto per la gestione del caso di Incidente con i Dati. Inoltre:

I rapporti di indagine legale dovranno essere compilati utilizzando l'attuale Modello di rapporto finale legale per gli Incidenti (Forensic Incident Final Report Template) messo a disposizione dal PCI. Tale rapporto dovrà includere esami forensi, relazioni sulla conformità e ogni altra informazione relativa all'Incidente con i Dati; dovrà identificare la causa dell'Incidente con i Dati; confermare se rispettavate il PCI DSS al momento dell'Incidente con i Dati; e accertare la vostra capacità di prevenire futuri Incidenti con i Dati mediante (i) la definizione di un piano di correzione di tutte le lacune riguardanti il PCI DSS e (ii) la partecipazione al programma di conformità American Express (come descritto più avanti). Su richiesta di American Express, dovrete ottenere da un Esperto qualificato in materia di valutazione della sicurezza (QSA) conferma di correzione delle lacune.

A prescindere da quanto esposto nei paragrafi precedenti di questo Articolo 3, "      Oneri nella Gestione degli Incidenti con i Dati":

Concordate di collaborare con American Express alla risoluzione di tutti i problemi derivanti dall'Incidente con i Dati, oltre che a consultarvi con American Express riguardo alle informazioni da fornire ai Titolari di Carta American Express coinvolti nell'Incidente con i Dati e a fornire (e ottenere ogni deroga necessaria per effettuare tale fornitura di Dati) ad American Express ogni informazione pertinente atta ad accertare la vostra capacità di prevenire futuri Incidenti con i Dati in maniera conforme all'Accordo.

A prescindere da qualsivoglia obbligo di riservatezza diverso contenuto nell'Accordo, American Express ha il diritto di divulgare informazioni su qualsiasi Incidente con i Dati ai titolari di Carte, agli Emittenti, ad altri partecipanti alla rete American Express e al pubblico in generale, così come richiesto dalla Legge applicabile tramite ordinanza giudiziaria, amministrativa o normativa, decreto, invito a comparire, petizione o altro procedimento, allo scopo di attenuare il rischio di frode o qualsiasi altro danno; o altrimenti agire in misura adeguata al mantenimento dell'operatività della rete American Express.

Articolo 4      Oneri di Risarcimento per Incidenti con i Dati

 

Gli oneri di risarcimento a vostro carico nei confronti di American Express stabiliti dall'Accordo per Incidenti con i Dati sono determinati, senza alcuna deroga ad altri diritti e riparazioni di American Express, in base al presente Articolo 4, "      Oneri di Risarcimento per Incidenti con i Dati". Oltre agli oneri di risarcimento a vostro carico (se presenti), l'Esercizio potreste essere soggetti a una penale per mancata conformità alle disposizioni indicate in caso di Incidente con i Dati, come descritte qui di seguito nel presente Articolo 4, "      Oneri di Risarcimento per Incidenti con i Dati".

In caso di Incidenti con i Dati, che coinvolgano:

§Dati sensibili di autenticazione, oppure

§Data di scadenza

dovrete risarcire American Express con il valore di USD 5 per numero di conto.

Tuttavia, American Express non richiederà alcun indennizzo per un Incidente con i Dati che coinvolga:

§avete fornito ad American Express notifica dell'Incidente con i Dati seguendo le procedure indicate nell'Articolo 3, "      Oneri nella Gestione degli Incidenti con i Dati",

§al momento in cui è avvenuto l'Incidente con i Dati rispettavate le norme PCI DSS (se ciò viene confermato dall'indagine del PFI sull'Incidente con i Dati in oggetto), e

§l'Incidente con i Dati non era stato provocato da indebita condotta da parte vostra o delle Parti contemplate.

A prescindere da quanto stabilito nei paragrafi sopra esposti del presente Articolo 4, "      Oneri di Risarcimento per Incidenti con i Dati", per qualsivoglia Incidente con i Dati, indipendentemente dal numero di Carte American Express coinvolte, sarà dovuta da parte vostra una penale ad American Express per il mancato rispetto delle disposizioni sugli Incidenti con i Dati di importo fino a USD 100.000 per Incidente (come determinato da American Express a propria esclusiva discrezione) nel caso in cui non sia stato rispettato uno o più degli obblighi stabiliti nel precedente Articolo 3, "      Oneri nella Gestione degli Incidenti con i Dati". A scanso di equivoci, si specifica che l'importo totale della penale per la mancata conformità alle disposizioni in caso di Incidente con i Dati non dovrà superare USD 100.000 ad Incidente.

American Express escluderà dal calcolo ogni numero di Carta American Express incluso in una precedente richiesta di indennizzo per Incidente con i Dati avvenuto entro i dodici (12) mesi precedenti la Data di notifica. Tutti i calcoli eseguiti da American Express secondo questa formula sono definitivi.

Sulla base del presente Accordo, American Express potrà fatturarvi l'intero importo degli oneri di risarcimento per Incidenti con i Dati da voi dovuti o detrarre tale importo dai pagamenti che American Express deve effettuare nei vostri confronti (o addebitare tale somma sul vostro conto corrente bancario).

Gli oneri di risarcimento dovuti dall'Esercizio per Incidenti con i Dati e così definiti non saranno considerati danni incidentali, indiretti, speculativi, consequenziali, speciali, punitivi o esemplari ai sensi dell'Accordo, purché tali oneri non includano danni inerenti o intrinseci a perdita di profitti o ricavi, perdita di clientela o perdita di opportunità di guadagno.

A sua esclusiva discrezione, American Express potrà ridurre gli oneri di risarcimento solamente agli Esercizi che soddisfino tutti i requisiti seguenti:

Qualora sia disponibile una riduzione degli oneri di risarcimento per gli Esercizi (escludendo ogni penale di mancata conformità dovuta) questa sarà determinata nel modo seguente:

Riduzione degli oneri di risarcimento

Criteri richiesti:

Riduzione standard:
50%

>75% delle transazioni totali elaborate su Dispositivi abilitati all'uso di Chip1 OPPURE

Tecnologia di riduzione dei rischi in uso in >75% delle sedi degli Esercizi2

Riduzione maggiorata:
Dal 75% al 100%

>75% di tutte le transazioni elaborate su Dispositivi abilitati all'uso di Chip1 E altra Tecnologia di riduzione dei rischi in uso in >75% delle sedi degli Esercizi2

1   Determinata da un'analisi interna di American Express

2   Determinata da indagine PFI

Aggiornamento della riduzione dell'obbligo di indennizzo

Es.

Tecnologia di riduzione dei rischi in uso

Riduzione

Accettabile

1

80% delle transazioni su Dispositivi abilitati all'uso di Chip

No

50%: Riduzione standard (meno del 75% di utilizzo di Tecnologie di riduzione dei rischi non configuri una Riduzione maggiorata)1

0% sedi che utilizzano un'altra Tecnologia di riduzione dei rischi

2

80% delle transazioni su Dispositivi abilitati all'uso di Chip

77%: Riduzione maggiorata (in base al 77% di utilizzo di Tecnologia di riduzione dei rischi)

77% sedi che utilizzano un'altra Tecnologia di riduzione dei rischi

3

93% delle transazioni su Dispositivi abilitati all'uso di Chip

93%: Riduzione maggiorata (in base al 93% delle transazioni su Dispositivi abilitati all'uso di Chip)

100% sedi che utilizzano un'altra Tecnologia di riduzione dei rischi

4

40% delle transazioni su Dispositivi abilitati all'uso di Chip

No

50%: Riduzione standard (meno del 75% delle transazioni su Dispositivi abilitati all'uso di Chip non dà diritto a una Riduzione maggiorata)

90% sedi che utilizzano un'altra Tecnologia di riduzione dei rischi

1   Un Incidente con i Dati che coinvolga 10.000 conti Carta American Express, al costo di USD 5 per numero di conto (10.000 x USD 5 = USD 50.000), può beneficiare di una riduzione del 50%, con un taglio degli oneri di risarcimento da USD 50.000 a USD 25.000, escluse eventuali penali per mancata conformità.

Articolo 5      Importante Convalida periodica dei Sistemi in uso

 

Siete tenuti all'osservanza della seguente procedura con cadenza annuale e ogni 90 giorni, secondo il PCI DSS, come descritto più avanti, allo scopo di convalidare lo stato delle apparecchiature, dei sistemi e/o delle reti (e dei relativi componenti) vostre e dei vostri Affiliati mediante i quali vengono memorizzati, elaborati o trasmessi i Dati del Titolare della Carta o i Dati sensibili di autenticazione.

Per completare la procedura di convalida le fasi da seguire sono quattro:

Azione 1: Partecipazione al programma di conformità PCI American Express (qui di seguito definito "il Programma") ai sensi della presente procedura.

Azione 2: Riconoscimento del proprio Livello dell'Esercizio e dei Requisiti di convalida.

Azione 3: Compilazione della Documentazione di convalida da inviare ad American Express.

Azione 4: Invio della Documentazione di convalida ad American Express nei tempi stabiliti.

Azione 1: Partecipazione al Programma di conformità American Express ai sensi della presente Procedura

Gli Esercizi di Livello 1° e 2° e tutti i Fornitori di servizi, secondo la definizione fornita a seguire, dovranno partecipare al Programma ai sensi della presente procedura. American Express può richiedere, a sua esclusiva discrezione, ad alcuni Esercizi di 3° e 4° Livello di partecipare al Programma ai sensi della presente procedura.

Gli Esercizi e i Fornitori di servizi cui è richiesto di partecipare al Programma sono tenuti a registrarsi al Portale fornito dall'Amministratore del Programma scelto da American Express entro i tempi previsti.

§nome completo

§indirizzo e-mail

§numero telefonico

§indirizzo postale

Se l'utente non fornisce o non mantiene informazioni di contatto aggiornate per comunicazioni sulla sicurezza dei Dati o non abilita le comunicazioni via e-mail, ciò non influirà sul nostro diritto di richiedere delle penali.

Azione 2: Riconoscimento del proprio Livello dell'Esercizio e dei Requisiti di convalida

I Livelli applicabili agli Esercizi sono quattro, mentre quelli applicabili ai Fornitori di servizi sono due, in base al volume delle transazioni eseguite con Carta American Express.

Per determinare il Livello di Esercizio e i Requisiti di convalida, le transazioni BIP (Buyer Initiated Payment) sono escluse dal volume delle transazioni effettuate con Carta American Express. L'Esercizio ricadrà in uno dei Livelli di Esercizio specificati nelle tabelle Esercizi e Fornitori di servizi sotto riportate.

*   Nel caso degli Affillianti, è incluso il volume dei Punti vendita degli Affilliati. Gli Affilianti che danno mandato ai propri Affiliati di usare uno specifico terminale POS (Point of Sale) o Fornitore di servizi dovranno anche fornire la Documentazione di convalida relativa agli Affiliati coinvolti.

Requisiti relativi alla Documentazione di convalida dell'Esercizio

Gli Esercizi (non Fornitori di servizi) rientrano in una tra quattro possibili classificazioni riguardanti il Livello di Esercizio. Dopo avere stabilito il livello di Esercizio in base all'elenco seguente, consultate la Tabella Esercizi per un elenco dei requisiti per la Documentazione di convalida.

Tabella Esercizi

 

Documentazione di convalida

Livello dell'Esercizio/ transazioni annuali con Carta American Express

Relazione sulla conformità Attestato di conformità (ROC AOC)

Questionario Attestato di conformità (SAQ AOC) E Scansione esterna trimestrale della vulnerabilità di rete (Scansione)

Attestato STEP per gli Esercizi qualificati a partecipare al programma

Livello 1/
2,5 milioni o più

Obbligatorio

Non applicabile

Facoltativo con l'approvazione da parte di American Express (sostituisce il ROC)

Livello 2/
da 50.000 a 2,5 milioni

Facoltativo

SAQ AOC obbligatorio (a meno che si presenti un ROC AOC); scansione obbligatoria per determinati tipi di SAQ

Facoltativo (sostituisce il SAQ e la Scansione di rete o il ROC)

Livello 3/
da 10.000 a 50.000

Facoltativo

SAQ AOC facoltativo (obbligatorio se richiesto da American Express); scansione obbligatoria con determinati tipi di SAQ

Facoltativo (sostituisce il SAQ e la Scansione di rete o il ROC)

Livello 4/
10.000 o meno

Facoltativo

SAQ AOC facoltativo (obbligatorio se richiesto da American Express); scansione obbligatoria con determinati tipi di SAQ

Facoltativo (sostituisce il SAQ e la Scansione di rete o il ROC)

*      A scanso di equivoci, gli Esercizi di 3° e 4° Livello non sono tenuti alla presentazione della Documentazione di convalida, a meno che non sia richiesta a discrezione di American Express; ciò nonostante devono attenervisi, e sono ritenuti responsabili per tutte le altre disposizioni della presente Procedura operativa di sicurezza dei Dati.

American Express si riserva il diritto di verificare la completezza, l'accuratezza e l'adeguatezza della Documentazione di convalida PCI. Per una valutazione meglio documentata di tale verifica, American Express potrebbe richiedere all'Esercizio di fornire ulteriori documenti a supporto. Inoltre, American Express ha il diritto di richiedere all'Esercizio di coinvolgere un QSA o PFI approvato dal PCI Security Standards Council.

Programma Security Technology Enhancement (STEP)

A discrezione di American Express, gli Esercizi che sono conformi al PCI DSS possono anche essere ammessi al programma di ampliamento della tecnologia di sicurezza o STEP di American Express se mettono in atto determinate misure aggiuntive di sicurezza tecnologiche nel proprio ambiente di elaborazione delle Carte. Il Programma STEP si applica solo se l'Esercizio non è incorso in alcun Incidente con i Dati nei precedenti 12 mesi e se il 75% di tutte le transazioni con Carta dell'Esercizio viene effettuato mediante una combinazione delle seguenti opzioni aggiuntive di sicurezza:

§soddisfare le specifiche EMVCo,

§essere tenuta al sicuro, elaborata, memorizzata, trasmessa e interamente gestita da un fornitore di servizi terzo conforme PCI, e

§il Token non può essere annullato per rivelare Numeri di conto principale (PAN) all'Esercizio.

Gli Esercizi che possono essere ammessi al programma STEP hanno requisiti ridotti riguardo alla Documentazione di convalida PCI, come descritto ulteriormente più avanti nella Azione 3: "Compilazione della Documentazione di convalida da inviare ad American Express".

Requisiti per i Fornitori di servizi

I Fornitori di servizi (non Esercizi) hanno due possibili Livelli di classificazione. Dopo avere stabilito il Livello di Fornitore di servizi in base all'elenco seguente, consultate la Tabella Fornitori di servizi per conoscere i requisiti per la Documentazione di convalida.

Fornitore di servizi di 1° Livello – Almeno 2,5 milioni di transazioni con Carta American Express per anno; oppure qualsiasi Fornitore di servizi che American Express designi come di 1° Livello.

Fornitore di servizi di 2° Livello – Meno di 2,5 milioni di transazioni con Carta American Express per anno; oppure qualsiasi Fornitore di servizi non ritenuto di 1° Livello da American Express.

I Fornitori di servizi non possono essere ammessi al programma STEP.

Tabella Fornitori di servizi

Livello

Documentazione di convalida

Requisito

1

Relazione annuale sulla conformità Attestato di conformità (ROC AOC)

Obbligatorio

2

SAQ D annuale (Fornitore di servizi) e Scansione di rete trimestrale o Relazione annuale sulla conformità Attestato di conformità (ROC AOC), se preferibile

Obbligatorio

È preferibile che anche i Fornitori di servizi si conformino alle disposizioni della Convalida supplementare delle Entità designate PCI.

Azione 3: Compilazione della Documentazione di convalida da inviare ad American Express

La seguente documentazione è richiesta ai diversi livelli di Esercizio e Fornitore di servizi, come elencato nella Tabella Esercizi e nella Tabella Fornitori di servizi precedenti.

L'Esercizio dovrà fornire l'Attestato di Conformità (AOC) per il tipo di valutazione applicabile. L'AOC è una dichiarazione dello stato di conformità e, come tale, deve portare la firma e la data apposte dal livello dirigenziale appropriato all'interno dell'organizzazione dell'Esercizio.

Oltre all'AOC, American Express potrebbe richiedere all'Esercizio di fornire una copia della valutazione completa, e, a sua sola discrezione, ulteriori documenti a supporto che dimostrino la conformità ai requisiti PCI DSS. Questa Documentazione di convalida è raccolta a spese dell'Esercizio.

Relazione sulla conformità Attestato di conformità (ROC AOC) - (Requisito annuale) – La Relazione sulla conformità documenta i risultati di un esame dettagliato in loco delle apparecchiature, sistemi e reti (e loro componenti) dell'Esercizio, mediante i quali sono memorizzati, elaborati o trasmessi i Dati del Titolare di Carta o i Dati sensibili di autenticazione (o entrambi). Esistono due versioni: una per gli Esercizi e un'altra per i Fornitori di servizi. La Relazione sulla conformità deve essere redatta:

L'AOC deve portare firma e data apposte da un QSA o da un Valutatore interno della sicurezza (ISA) e dal livello dirigenziale appropriato all'interno dell'organizzazione dell'Esercizio ed essere inviata ad American Express almeno una volta all'anno.

Questionario di autovalutazione Attestato di conformità (SAQ AOC) - (Requisito annuale) – I Questionari di autovalutazione consentono l'autovalutazione dello stato delle apparecchiature, dei sistemi e delle reti (e relativi componenti) dell'Esercizio, mediante i quali sono memorizzati, elaborati o trasmessi i Dati del Titolare di Carta o i Dati sensibili di autenticazione (o entrambi). Esistono varie versioni del SAQ. L'Esercizio ne selezionerà uno o più secondo il suo Ambiente Dati del Titolare di Carta.

Il SAQ può essere compilato solo da personale interno all'Azienda qualificato a rispondere accuratamente e pienamente alle domande oppure l'Esercizio può rivolgersi a un QSA per ottenere assistenza. L'AOC deve portare firma e data apposte dal livello dirigenziale appropriato all'interno dell'organizzazione dell'Esercizio ed essere inviata ad American Express almeno una volta all'anno.

Riepilogo scansione vulnerabilità di rete esterna effettuata dal fornitore di scansioni autorizzato (Scansione ASV) - (Requisito ogni 90 giorni) – Una scansione della vulnerabilità eseguita al di fuori della rete è un test remoto eseguito per aiutare ad identificare potenziali punti deboli, vulnerabilità e errori di configurazione di componenti di interfaccia Internet dell'Ambiente Dati del Titolare di Carta dell'Esercizio (ad es. siti web, applicazioni, server web, server di posta, domini pubblici o host).

La Scansione ASC deve essere eseguita da un Fornitore Autorizzato per la Scansione (ASV).

Se richiesto dal SAQ, occorrerà trasmettere ad American Express almeno una volta ogni 90 giorni la Relazione ASV Scan di Attestato di conformità della Scansione (AOSC) o un riepilogo generale che includa il conto degli obiettivi scansionati, una certificazione che indichi che i risultati soddisfano le procedure di scansione PCI DSS e lo status di conformità raggiunto dall'ASV.

ROC AOC o STEP non saranno necessari per fornire un riepilogo generale della Scansione AOSC o ASV, se non specificamente richiesto. A scanso di qualsiasi equivoco, le Scansioni sono obbligatorie se richieste dal SAQ applicabile.

A scanso di qualsiasi equivoco, gli ASV sono obbligatori se richiesti dal SAQ applicabile.

Documentazione di convalida dell'Attestato STEP (STEP) - (Requisito annuale) – La STEP è disponibile solo per gli Esercizi che soddisfano i criteri elencati nella Azione 2: "Riconoscimento del proprio Livello dell'Esercizio e dei Requisiti di convalida" esposto sopra. Se la vostra azienda rientra in questa qualifica, occorrerà completare e presentare ad American Express il modulo dell'Attestato STEP una volta all'anno. Il Modulo dell'Attestato annuale del Programma STEP può essere scaricato dal Portale.

Non conformità PCI DSS - (Requisito annuale, ogni 90 giorni e/o ad hoc) – Qualora l'Esercizio non fosse conforme ai requisiti PCI DSS, sarà tenuto a presentare uno dei seguenti documenti:

Ognuno dei documenti di cui sopra deve indicare una data entro cui porre rimedio al problema, che non dovrà superare, al fine di ottenere la conformità, i dodici (12) mesi dalla data di compilazione della documentazione. Dovrete fornire ad American Express aggiornamenti periodici sullo stato di attuazione della procedura di correzione del vostro Status di non conformità (Esercizi di 1°, 2°, 3° e 4° Livello; tutti i Fornitori di servizi). Le azioni correttive necessarie per ottenere la conformità al PCI DSS devono essere portate a termine a vostre spese.

American Express non applicherà nei vostri confronti le penali di mancata convalida (descritte più avanti) prima della data di termine della riparazione, tuttavia sarete ritenuti responsabili nei confronti di American Express di tutti gli oneri di risarcimento per Incidente con i Dati e sarete soggetti a tutte le altre disposizioni della presente procedura.

A scanso di qualsiasi equivoco, gli Esercizi non conformi al PCI DSS non saranno qualificati a partecipare al Programma STEP.

Azione 4: Invio della Documentazione di convalida ad American Express

Tutti gli Esercizi e i Fornitori di servizi cui è richiesto di partecipare al Programma sono tenuti a presentare la Documentazione di convalida indicata come "obbligatoria" nelle tabelle illustrate nella Azione 2: "Riconoscimento del proprio Livello dell'Esercizio e dei Requisiti di convalida" ad American Expresso entro le date di scadenza applicabili. 

Dovrete presentare la Documentazione di convalida ad American Express usando il Portale fornito dall'Amministratore del Programma scelto da American Express. Presentando la Documentazione di convalida, l'Esercizio dichiara e garantisce ad American Express che quanto segue corrisponde al vero (al meglio delle vostre capacità):

Penali di mancata convalida e risoluzione dell'Accordo

American Express ha il diritto di applicare nei vostri confronti penali di mancata convalida e risolvere l'Accordo se non soddisferete questi requisiti o se non fornirete ad American Express la Documentazione di convalida obbligatoria entro la data di scadenza stabilita. American Express provvederà a comunicarvi separatamente la data di scadenza stabilita per ciascun periodo di rendicontazione annuale e trimestrale.

Tabella delle penali di mancata convalida

Descrizione*

Esercizio o Fornitore di servizi di 1˚ Livello

Esercizio o Fornitore di servizi di 2˚ Livello

Esercizio di
3˚ o 4˚ Livello

Verrà calcolata una penale in caso di mancata ricezione della Documentazione di convalida entro la prima data di scadenza.

USD 25.000

USD 5.000

USD 50

Verrà calcolata una penale addizionale di mancata convalida in caso di mancata ricezione della Documentazione di convalida entro la seconda data di scadenza.

USD 35.000

USD 10.000

USD 100

Verrà calcolata una penale addizionale di mancata convalida in caso di mancata ricezione della Documentazione di convalida entro la terza data di scadenza.

NOTA: Le penali di mancata convalida continueranno ad essere applicate fino alla presentazione della Documentazione di convalida.

USD 45.000

USD 15.000

USD 250

* Le penali di mancata convalida saranno valutate in equivalenti in valuta locale.

* Non applicabile in Argentina.

Se gli obblighi dell'Esercizio relativi alla Documentazione di convalida PCI DSS non saranno soddisfatti, American Express avrà il diritto di imporre gli Oneri di mancata convalida in modo cumulativo, trattenere pagamenti e/o porre termine all'Accordo.

Articolo 6      Riservatezza

American Express adotterà ogni precauzione ragionevole per mantenere la riservatezza (e esigerla dai propri agenti e subappaltatori, compresa il fornitore del Portale) sulle vostre relazioni sulla conformità, inclusa la Documentazione di convalida, e per non divulgare la Documentazione di convalida a terzi (ad eccezione di affiliati, agenti, rappresentanti, Fornitori di servizi e subappaltatori di American Express) per un periodo di tre anni dalla data di ricezione. Questo obbligo di riservatezza non si applica alla Documentazione di convalida che:

a.sia già nota ad American Express prima della divulgazione;

b.sia o diventi di pubblico dominio in assenza di violazione del presente Comma da parte di American Express;

c.sia debitamente consegnata a terzi da American Express senza alcun obbligo di riservatezza;

d.sia sviluppata in maniera indipendente da American Express; oppure

e.debba essere divulgata a seguito di un'ordinanza da parte di un tribunale, un ente amministrativo o un'autorità governativa, ovvero per legge, norma o regolamento oppure a seguito di invito a comparire, richiesta di presentazione, citazione o altro procedimento amministrativo o legale, oppure a seguito di qualsiasi richiesta di informazioni o indagine formale o informale da parte di un ente o autorità governativa (compresi enti di controllo, di ispezione, di medicina legale o agenzia delle forze dell'ordine).

Articolo 7      Dichiarazione di non responsabilità

AMERICAN EXPRESS DISCONOSCE QUALSIASI DICHIARAZIONE, GARANZIA E RESPONSABILITÀ IN RELAZIONE ALLA PRESENTE PROCEDURA OPERATIVA DI SICUREZZA DEI DATI, CONCERNENTI IL PCI DSS, LE SPECIFICHE EMV E LA DESIGNAZIONE E L'OPERATO DI QSA, ASV O PFI (O DI OGNUNA DI QUESTE FIGURE), IN FORMA ESPLICITA, IMPLICITA, REGOLAMENTARE O DI QUALSIASI ALTRO TIPO, INCLUSA QUALSIASI GARANZIA DI COMMERCIABILITÀ O IDONEITÀ PER UNO SCOPO SPECIFICO. AI TERMINI DELLA PRESENTE PROCEDURA, LE SOCIETÀ EMITTENTI DI CARTA AMERICAN EXPRESS NON SONO TERZE PARTI BENEFICIARIE.

Siti web utili

Sicurezza dei dati American Express: www.americanexpress.com/datasecurity 

PCI Security Standards Council, LLC: www.pcisecuritystandards.org

Definizioni

Ai fini esclusivi di questa Procedura operativa di sicurezza dei dati (DSOP) si applicano e prevalgono in caso di conflitto tra i termini le definizioni riportate nelle Norme per gli Esercizi Convenzionati.

Accredito indica l'importo dell'Addebito rimborsato ai Titolare della Carta per acquisti o pagamenti effettuati con la Carta.

Addebito indica un pagamento o un acquisto effettuato con una Carta.

Affiliante indica l'operatore di un Esercizio commerciale che autorizza altre persone o Entità (Affiliati) a distribuire beni e/o servizi o ad operare con il marchio dell'operatore; che fornisce assistenza agli Affiliati nello svolgimento delle proprie attività o influenza il metodo di operatività dell'Affiliato; e che richiede il pagamento di una quota da parte degli Affiliati.

Affiliato indica una terza parte indipendente sia come gestione che come titolarità (compreso un affiliato, un licenziatario o un ramo di impresa) diverso da una Affiliata, che opera con licenza da parte di un Affiliante per gestire un franchising e che ha stipulato un accordo scritto con l'Affiliante, in cui esibisce costantemente una identificazione esterna, che si identifica sostanzialmente con i marchi dell'Affiliante o si presenta al pubblico come membro del gruppo aziendale dell'Affiliante.

Ambiente Dati del Titolare della Carta (CDE) indica il personale, i processi e le tecnologie che memorizzano, elaborano o trasmettono dati del Titolare della Carta o dati di autenticazione sensibile dello stesso.

Applicazione per il pagamento ha lo stesso significato attribuitole dalle Definizioni correnti dei termini del Payment Card Industry Payment Application Data Security Standard, disponibile sul sito www.pcisecuritystandards.org.

Approvato da PCI indica che un Dispositivo per il pagamento con immissione di PIN o un'Applicazione per il pagamento (o entrambi) compaiono, al momento della loro commercializzazione, nell'elenco delle società e dei fornitori approvati gestito da PCI Security Standards Council, LLC, che è disponibile sul sito www.pcisecuritystandards.org.

Arco temporale dell'Incidente con i dati indica l'intervallo di tempo che ha inizio alla data della compromissione, se nota, ovvero 365 giorni prima della Data di notifica se la data effettiva della compromissione non è nota. L'arco temporale dell'Incidente con i dati termina 30 giorni dopo la Data di notifica.

Attestato di conformità (AOC) indica una dichiarazione dello status di conformità al PCI DSS, nella forma stabilita da Payment Card Industry Security Standards Council, LLC.

Attestato di conformità della scansione (AOSC) indica una dichiarazione dello status di conformità al PCI DSS, basata su una scansione di rete, nella forma stabilita da Payment Card Industry Security Standards Council, LLC.

Carta American Express, o Carta indica qualsiasi carta, dispositivo di accesso al conto, apparecchio o servizio di pagamento recante nome, logo, marchio commerciale, marchio di servizio, nome commerciale o altra immagine o designazione di proprietà di American Express o di una sua affiliata e rilasciato da una società emittente oppure ancora indica un numero di conto Carta.

Carta con Chip indica una Carta contenente un Chip che può richiedere un PIN come strumento di verifica dell'identità del Titolare della Carta o delle informazioni sul conto contenute nel Chip, ovvero di entrambe (a volte indicata nella nostra documentazione come "smart card", "Carta EMV", "ICC" o "Carta con circuito integrato").

Chiave crittografica ("chiave crittografica American Express") indica tutte le chiavi usate nell'elaborazione, creazione, caricamento e/o protezione dei dati sul conto. Queste comprendono, ma non sono limitate a quanto segue:

Chip indica un microchip integrato inserito in una Carta contenente le informazioni sul Titolare della Carta e sul conto.

Crittografia Point-to-Point Encryption (P2PE) indica una soluzione che protegge mediante crittografia i dati relativi a un conto dal punto in cui un Esercizio accetta la Carta di pagamento al punto protetto di decrittografia.

Data di notifica indica la data in cui American Express fornisce alle società emittenti la notifica finale di un Incidente con i dati. Tale data è subordinata alla ricezione da parte di American Express del rapporto forense finale o dell'analisi interna e sarà stabilita a discrezione esclusiva di American Express.

Dati del Titolare della Carta ha lo stesso significato attribuitogli dalle Definizioni correnti dei termini del PCI DSS.

Dati sensibili di autenticazione ha lo stesso significato attribuito al termine dalle Definizioni correnti dei termini del PCI DSS.

Dispositivo abilitato all'uso di Chip indica un apparecchio POS con approvazione/certificazione EMVCo (www.emvco.com) valida e aggiornata in grado di elaborare transazioni con Carta con Chip conformi a AEIPS.

Dispositivo per il pagamento con immissione di PIN ha lo stesso significato attribuitogli dalle Definizioni correnti dei termini per la sicurezza delle transazioni con PIN abituali nel settore per le Carte di pagamento (PTS), Punto di interazione (POI), Requisiti di sicurezza modulare, disponibili sul sito www.pcisecuritystandards.org.

Documentazione di convalida indica l'AOC presentato riguardo a una Valutazione annuale della sicurezza in loco o SAQ, l'AOSC e i documenti di sintesi delle risultanze presentati riguardo alle Scansioni di rete trimestrali oppure l'Attestato annuale del Programma STEP.

Emittente indica qualunque Entità (compresa American Express e i suoi affiliati) autorizzata da American Express o da un Affiliato di American Express ad emettere Carte e ad impegnarsi nell'attività di emissione di Carte.

Esercizio indica l'Esercizio e tutti i suoi affiliati che accettano Carte American Express secondo un Accordo con American Express o le sue affiliate.

Esercizio di 1° Livello indica un Esercizio che effettua almeno 2,5 milioni di transazioni con Carta American Express per anno; oppure qualsiasi Esercizio che American Express designi come di 1° Livello.

Esercizio di 2° Livello indica un Esercizio che effettua da 50.000 a 2,5 milioni di transazioni con Carta American Express all'anno.

Esercizio di 3° Livello indica un Esercizio che effettua da 10.000 a 50.000 milioni di transazioni con Carta American Express all'anno.

Esercizio di 4° Livello indica un Esercizio che effettua meno di 10.000 transazioni con Carta American Express all'anno.

Esperto qualificato in materia di valutazione della sicurezza (QSA) indica una persona fisica o giuridica autorizzata dal Payment Card Industry Security Standards Council, LLC alla certificazione dell'osservanza dello standard PCI DSS.

Fornitore di prodotti di scansione approvato (ASV) indica una Persona giuridica autorizzata da Payment Card Industry Security Standards Council, LLC alla certificazione dell'osservanza di determinati requisiti PCI DSS mediante l'esecuzione di procedure di scansione degli ambienti interfacciati a Internet alla ricerca di vulnerabilità.

Fornitori di servizi indica i responsabili delle elaborazioni autorizzati, i responsabili delle elaborazioni di terzi, i fornitori di gateway, gli integratori di terminali POS e qualsiasi altro fornitore per Esercizi di terminali POS o di altre soluzioni o servizi per l'elaborazione dei pagamenti.

Fornitore di servizi di 1° Livello Indica un Fornitore di servizi con almeno 2,5 milioni di transazioni con Carta American Express all'anno; oppure qualsiasi Fornitore di servizi che American Express designi come di 1° Livello.

Fornitore di servizi di 2° Livello Indica un Fornitore di servizi con meno di 2,5 milioni di transazioni con Carta American Express all'anno; oppure qualsiasi Fornitore di servizi non ritenuto di 1° Livello da American Express.

Incidente con i dati indica un incidente che implica la compromissione o la sospetta compromissione delle chiavi crittografiche American Express, o di almeno un numero di conto Carta American Express in cui avviene:

Informazioni sul Titolare della Carta indica le informazioni sui Titolari American Express e sulle transazioni della Carta, compresi nomi, indirizzi, numeri di conto carta e numeri di identificazione carta (CID).

Investigatore forense PCI (PFI) indica una persona fisica o giuridica autorizzata dal Payment Card Industry Security Standards Council, LLC alla conduzione di indagini forensi su una violazione o una compromissione dei dati di una Carta di pagamento.

Livello dell'Esercizio indica la classificazione che American Express assegna agli Esercizi relativamente ai loro obblighi di convalida della conformità al PCI DSS, come descritto nell'Articolo 5, "      Importante Convalida periodica dei Sistemi in uso".

Modello di relazione forense finale per gli incidenti indica il modello disponibile presso il PCI Security Standards Council, sul sito www.pcisecuritystandards.org.

Numero della Carta indica il numero unico di identificazione che l'Emittente assegna alla Carta al momento dell'emissione.

Numero di Carta Compromesso indica una numero di Carta American Express correlato a un Incidente con i dati.

Numero di conto principale (PAN) ha il significato attribuitogli nell'allora corrente glossario dei termini per PCI DSS.

Parti contemplate indica tutti i dipendenti, gli agenti, i rappresentanti, i subappaltatori, i Responsabili dell'elaborazione, i Fornitori di servizi, i fornitori di terminali POS o di sistemi o di soluzioni per l'elaborazione dei pagamenti, Entità associate al conto Esercizio American Express, e chiunque altro a cui possa essere fornito l'accesso alle Informazioni sul Titolare della Carta conformemente all'Accordo.

Payment Card Industry Data Security Standard (PCI DSS) indica il Payment Card Industry Data Security Standard, disponibile sul sito www.pcisecuritystandards.org.

PCI DSS indica il Payment Card Industry Data Security Standard, disponibile sul sito www.pcisecuritystandards.org.

Portale, Il indica il sistema di comunicazione fornito dall'amministratore del Programma PCI di American Express scelto da American Express. Esercizi e Fornitori di servizi devono utilizzare il Portale per trasmettere la documentazione di convalida PCI ad American Express.

Programma, Il indica il Programma di conformità PCI di American Express.

Programma di analisi mirata indica un programma che permette la rapida identificazione di una potenziale compromissione dei dati del Titolare della Carta nell'Ambiente Dati del Titolare della Carta (CDE). Vedere Articolo 1, "      Programma di analisi mirata (TAP)".

Programma Security Technology Enhancement (STEP) indica il programma di American Express in cui gli Esercizi sono incoraggiati a mettere in atto tecnologie che migliorino la sicurezza dei dati.

Questionario di autovalutazione (SAQ) indica uno strumento di autovalutazione creato dal Payment Card Industry Security Standards Council, LLC allo scopo di valutare e attestare la conformità al PCI DSS.

Requisiti del Payment Card Industry Security Standards Council (PCI SSC) indica l'insieme di standard e requisiti relativi alla sicurezza e alla protezione dei dati delle carte di pagamento, inclusi gli standard PCI DSS e PA DSS e disponibile sul sito www.pcisecuritystandards.org.

Requisiti di sicurezza PCI per i PIN indica i requisiti di sicurezza per i PIN di Payment Card Industry, disponibili sul sito www.pcisecuritystandards.org.

Responsabile dell'elaborazione indica un fornitore di servizi agli Esercizi che facilita l'Autorizzazione e l'elaborazione degli inoltri alla rete American Express.

Soluzione P2PE (Point-to-Point Encryption) approvata, è una soluzione inclusa in un elenco PCI SSC di soluzioni convalidate oppure è convalidata da un esperto qualificato in materia di valutazione della sicurezza PCI SSC o da una società di P2PE.

Specifiche EMV indica le specifiche pubblicate da EMVCo, LLC, e disponibili sul sito www.emvco.com.

Tecnologia di riduzione dei rischi indica le soluzioni tecnologiche che migliorano la sicurezza dei Dati del Titolare della Carta American Express e dei Dati sensibili di autenticazione, come stabilito da American Express. Perché una Tecnologia di riduzione dei rischi possa essere ammissibile, occorre dimostrare che il suo utilizzo effettivo è conforme ai propositi e agli scopi previsti. A titolo di esempio, ma senza limitarsi ad essi, citiamo: EMV, crittografia P2PE e tokenizzazione.

Terminale POS (Point of Sale) indica un sistema o un'apparecchiatura per l'elaborazione di informazioni, costituito da terminale, PC, registratore di cassa elettronico, lettore contactless, o da un modulo o un processo di pagamento, utilizzato da un Esercizio per ottenere autorizzazioni e/o per raccogliere dati sulle transazioni o entrambe le cose.

Titolare della Carta indica una persona fisica o giuridica (i) che ha sottoscritto un Accordo per l'assegnazione di un conto Carta con una società emittente o (ii) il cui nome compare sulla Carta.

Token indica il token criptografico che sostituisce il PAN, basandosi su un determinato indice per un valore non prevedibile.

Transazione indica una operazione di Addebito o Accredito completata mediante l'uso di una Carta.

Transazione Buyer Initiated Payment (BIP) indica una transazione di pagamento resa possibile mediante un archivio di istruzioni di pagamento elaborato con procedura BIP, ovvero avviata dall'acquirente.

Transazione EMV indica una transazione con carta con circuito integrato (a volte indicata come "Carta IC", "Carta con Chip", "Smart Card ", "Carta EMV" o "ICC") effettuata su un terminale POS (point of sale) in grado di accettare carte IC e dotato di approvazione di tipo EMV valida e aggiornata. Le approvazioni di tipo EMV sono disponibili sul sito www.emvco.com.