Il PCI DSS (Payment Card Industry Data Security Standard) è uno standard per la sicurezza informatica nato nel 2006 sviluppato per prevenire i furti di dati dei titolari di carte di pagamento e rendere più sicure le transazioni, quando American Express, Discover, JCB, Mastercard e Visa hanno formato il Payment Card Industry Security Standards Council.
Lo standard PCI (Payment Card Industry) DSS (Data Security Standard) è un insieme di requisiti pensato per garantire la sicurezza delle informazioni sui titolari di carte di credito e debito, indipendentemente dalle loro modalità o posizioni di raccolta, elaborazione, trasmissione e archiviazione. Sviluppato dai membri fondatori del PCI Security Standards Council, nato dalla collaborazione tra i maggiori brand di carte di credito, che includono America Express, Discover Financial Services, JCB, MasterCard Worldwide e Visa International, questo standard mira a incoraggiare l’adozione internazionale di misure di protezione dei dati coerenti e omogenee.
I requisiti dello standard PCI DSS (Payment Card Industry Data Security Standard) riguardano aziende e organizzazioni che gestiscono dati sui titolari di carta nel normale svolgimento della loro attività. In particolare, i requisiti PCI DSS riguardano istituti finanziari, commercianti e provider di servizi che gestiscono questo tipo di dati nel corso di una loro tipica giornata lavorativa. Lo standard PCI DSS è costituito da un elenco di requisiti di protezione in termini di gestione, criteri, procedure, architettura di rete, progettazione di software e altre misure di tutela dei dati sui titolari di carta.
Il PCI DSS (Payment Card Industry Data Security Standard) prevede una serie di controlli di sicurezza basati su 12 principi guida ed oltre 300 controlli di sicurezza tesi a migliorare la sicurezza delle informazioni relative ai titolari di carte di credito facilitando l’adozione di misure di sicurezza a tutela delle transazioni di pagamento. Esistono oltre 1.800 pagine di documentazione ufficiale sul PCI DSS pubblicate dall’Ente responsabile degli standard di protezione PCI e oltre 300 pagine di documentazione solo per capire quale modello/i usare per convalidare la conformità alle norme PCI.
Rimandiamo alla pagina web Document Library del sito del PCI Security Standards Council.
I criteri e i requisiti PCI DSS (Payment Card Industry Data Security Standard) obbligano a:
- Creare e gestire una rete protetta
- Requisito 1: installare e gestire una configurazione firewall per proteggere i dati sui titolari di carta.
- Requisito 2: non utilizzare i valori predefiniti forniti dal produttore per password del sistema e altri parametri di protezione.
- Proteggere i dati sui titolari di carta
- Requisito 3: proteggere i dati sui titolari di carta presenti negli archivi.
- Requisito 4: crittografare la trasmissione dei dati sui titolari di carta sulle reti pubbliche e aperte.
- Adottare un programma di gestione delle vulnerabilità
- Requisito 5: utilizzare e aggiornare regolarmente un software antivirus.
- Requisito 6: sviluppare e gestire sistemi e applicazioni sicuri.
- Implementare forti misure di controllo dell’accesso
- Requisito 7: limitare l’accesso ai dati sui titolari di carta al personale che ne ha effettivamente bisogno.
- Requisito 8: assegnare un ID univoco a ogni persona dotata di accesso informatico.
- Requisito 9: limitare l’accesso fisico ai dati sui titolari di carta.
- Monitorare e testare regolarmente le reti
- Requisito 10: registrare e monitorare tutti gli accessi alle risorse di rete e ai dati sui titolari di carta.
- Requisito 11: testare regolarmente i sistemi e i processi di protezione.
- Adottare criteri di protezione delle informazioni
- Requisito 12: adottare criteri per la protezione delle informazioni.
I requisiti 9 e 12 non richiedono l’implementazione di soluzioni tecnologiche. Il requisito 9 indica di proteggere fisicamente i luoghi in cui vengono archiviati ed elaborati i dati sui titolari di carta. A tale scopo può rendersi necessaria l’implementazione di un sistema di protezione dell’accesso all’edificio, l’installazione e la gestione di un’apparecchiatura di sorveglianza e il controllo dell’identità di tutte le persone che lavorano negli uffici dell’organizzazione e dei visitatori. Il requisito 12 indica di creare dei criteri di protezione delle informazioni e di comunicarli ai dipendenti, ai fornitori e alle altre parti dell’organizzazione che lavorano con i dati sui titolari di carta.
Le revisioni per il controllo dello standard PCI DSS vengono eseguite da due tipi di organizzazioni esterne:
- le aziende QSA (Qualified Security Assessor), che si occupano della parte interna del controllo (per la formazione QSA (Qualified Security Assessor) vedi: https://www.pcisecuritystandards.org/program_training_and_qualification/qsa_certification/);
- le aziende ASV (Approved Scanning Vendor), che eseguono le analisi delle vulnerabilità di quegli ambienti dell’organizzazione che si interfacciano con Internet (per la formazione ASV (Approved Scanning Vendor),vedi: https://www.pcisecuritystandards.org/program_training_and_qualification/approved_scanning_vendor_certification/) .
Una volta all’anno le aziende con certificazione QSA (Qualified Security Assessor) e ASV (Approved Scanning Vendor) vengono sottoposte a revisione e approvazione da parte del Payment Card Industry Security Standards Council (PCI DSC).
Dopo aver eseguito il controllo di un’organizzazione, le aziende QSA (Qualified Security Assessor) sono tenute a redigere un report secondo le specifiche linee guida definite dal PCI Security Standards Council.. Queste linee guida sono contenute in un documento con le procedure di controllo PCI (in inglese) che può essere scaricato dal sito https://www.pcisecuritystandards.org/pdfs/pci_audit_procedures_v1-1.pdf. Le linee guida spiegano come deve essere organizzato il report che la società QSA (Qualified Security Assessor) deve compilare dopo il controllo. Il report deve includere le informazioni sui contatti dell’organizzazione, la data di esecuzione del controllo, un riepilogo generale, una descrizione dell’ambito del lavoro e l’approccio scelto dalla società QSA (Qualified Security Assessor) per il controllo, i risultati delle analisi trimestrali e i risultati e le osservazioni finali. L’ultima sezione contiene il grosso delle informazioni sulla conformità dell’organizzazione allo standard PCI DSS (Payment Card Industry Data Security Standard). In questa sezione, l’azienda QSA (Qualified Security Assessor) riferisce sulla conformità dell’organizzazione a ognuno dei requisiti e dei sottorequisiti Payment Card Industry utilizzando un particolare modello.
Prima di programmare i controlli PCI DSS (Payment Card Industry Data Security Standard) per la propria organizzazione o, ancor meglio, durante la pianificazione della conformità allo standard PCI DSS, è necessario che il personale chiave dell’organizzazione studi le procedure di controllo PCI DSS. In questo modo sarà possibile capire chiaramente cosa verrà sottoposto a revisione dall’azienda QSA (Qualified Security Assessor) durante il controllo.
Anche le aziende ASV (Approved Scanning Vendor) devono preparare un report con i risultati delle analisi delle vulnerabilità eseguite sugli ambienti dell’azienda che si interfacciano con Internet. Le linee guida per questo report sono contenute in un documento con le procedure di analisi PCI (in inglese) che può essere scaricato dal sito https://www.pcisecuritystandards.org/pdfs/pci_scanning_procedures_v1-1.pdf. Questo documento indica quali elementi dell’ambiente dell’organizzazione devono essere analizzati dall’azienda ASV (Approved Scanning Vendor) e include una chiave che facilita la lettura e l’interpretazione del report.
Un’organizzazione che si occupa di commercio o fornitura di servizi deve osservare i requisiti di reporting sulla conformità di ogni singola azienda di carte di credito per assicurarsi che questa riconosca il suo stato di conformità. In altre parole, se un’organizzazione è un provider di servizi che gestisce dati sui titolari di carta associati a Visa e American Express, è tenuta a inviare i report di conformità a Visa e American Express.
Ogni azienda di carte di credito ha le sue regole e le sue procedure di conformità. Per ulteriori informazioni sugli specifici requisiti di conformità allo standard PCI DSS (Payment Card Industry Data Security Standard) e sui programmi di supporto che ogni azienda offre a commercianti e provider di servizi, contattare le aziende di carte di credito per le quali si elaborano, trasmettono o archiviano dati sui titolari di carta.
Basato su: Guida alla pianificazione della conformità allo standard PCI DSS (Payment Card Industry Data Security Standard) https://docs.microsoft.com/it-it/security-updates/security/15480175