Sicurezza & PCI DSS

Payment Card Industry Data Security Standard (PCI DSS)

La sicurezza è uno degli elementi fondamentali per le vendite a distanza e, in particolare, su Internet, considerata la criticità dei dati trattati. Consorzio Triveneto ha da sempre posto una particolare attenzione alla sicurezza nell’erogazione dei propri servizi, come attestato dalle importanti certificazioni ottenute (PCI-DSS e ISO27001), e dalla costante attenzione alle normative di sicurezza proposte dai circuiti di pagamento.

Quando viene utilizzata l'estensione di pagamento Consorzio Triveneto per Magento, potrebbe essere necessario fornire la certificazione PCI DSS. Le informazioni che vengono trasmesse con tecnologia AJAX, utilizzata dal client API della Consorzio Triveneto assicura che il negozio Magento non sia a diretto contatto con i dati relativi alla carta di credito, perchè il cliente trasferirà i dati relativi alla carta di credito direttamente dal suo client a Consorzio Triveneto.

Sicurezza

La piattaforma “Payment Gateway” rende disponibili alle Aziende operanti in Internet, i più aggiornati protocolli di autenticazione proposti dai circuiti internazionali: Verified by VISA e MasterCard SecureCode, uniti alla verifica del codice di controllo presente sulla carta. L’utilizzo di questi protocolli tutela l’Azienda venditrice dal disconoscimento delle transazioni da parte del titolare della carta di credito o prepagata, garantendo, nella maggior parte dei casi, il buon esito del pagamento.

SSL

Molti negozi Magento hanno implementato un certificato di sicurezza SSL acquistato dai provider internazionali per incrementare la fiducia durante le transazioni di pagamento. Il modulo di pagamento Consorzio Triveneto utilizza una connessione sicura con i server della banca sfruttando la cifratura dei certificati installati nei due server (banca/esercente).

Durante una transazione di pagamento Hosted o Server to Server, i software comunicano con il protocollo di sicurezza adottato. Non tutti i protocolli di sicurezza sono adatti e per esser certi, la banca mette a disposizione dei tecnici una lista di certificati adottati.

La lista è disponibile nel documento di integrazione TVB_IPG_Elenco_CA_autorizzate_<x.y.z>.pdf offerto dalla banca direttamente nel portale. Alle volte, questi certificati SSL devono essere caricati all'interno del server della banca per essere riconosciuti durante le transazioni con il proprio negozio Magento. Per far ciò bisogna inviare alla banca dei files particolari chiamati:

  • Root CA Certificate

  • Intermediate CA Certificate

Cosa è un Root CA Certificate?

Un certificato SSL di root o di origine è un certificato rilasciato da un'autorità di certificazione (CA) attendibile. Nel mondo dei certificati SSL, chiunque può generare una chiave SSL e firmare un nuovo certificato con quella firma. Tuttavia, tale certificato non è considerato valido a meno che non sia stato firmato direttamente o indirettamente da una CA attendibile.

Un'autorità di certificazione attendibile è un'entità che ha il diritto di verificare che qualcuno sia effettivamente chi dichiara di essere. Affinché questo modello funzioni, tutti i partecipanti al gioco devono concordare un insieme di CA di cui hanno fiducia. Tutti i sistemi operativi e la maggior parte dei browser web vengono forniti con una serie di CA attendibili.

Il sistema SSL si basa su un modello di rapporto di fiducia, chiamato anche "catena di fiducia". Quando un dispositivo convalida un certificato, confronta l'emittente del certificato con l'elenco delle CA attendibili. Se non viene trovata una corrispondenza, il client verifica se il certificato della CA di emissione è stato rilasciato da una CA attendibile e così via fino alla fine della catena del certificato. La parte superiore della catena, il certificato principale, deve essere rilasciata da un'autorità di certificazione attendibile.

L'estensione di tali certificati è .crt da non confondere con i file rilasciati durante l'acquisto.

Dove posso scaricare i certificati di root?

Questi due file sono a disposizione del tecnico direttamente dal portale nel quale ha acquistato il certificato. Qualora non fosse presente nel portale dell'azienda dal quale ha acquistato il certificato, può richiederlo direttamente via segnalazione o via helpdesk all'azienda emettritrice.