Cos'è la conformità PCI DSS? | Definizione di PCI DSS

Cos'è la conformità PCI DSS?

La conformità allo standard PCI (Payment Card Industry) implica il rispetto di una serie di criteri di sicurezza per i dati dei titolari di carta. Tutte le organizzazioni che elaborano transazioni con carte di credito, di debito e/o prepagate sono soggette ai requisiti di conformità PCI.

Per essere sicuri, i dati delle carte di credito devono restare segreti e la conformità PCI dimostra che un'azienda può essere considerata affidabile nel mantenere segreti tali dati. Proprio come un proprietario di casa non presterebbe le chiavi di casa a qualcuno di cui non si fida per affidare i propri beni, i marchi di carte di credito non si fideranno di un commerciante che trasmetterà i dati delle proprie carte di pagamento se il commerciante non li custodisce in modo sicuro.

Se un'azienda archivia, elabora o trasmette i dati dei titolari di carte di credito, tramite Internet, telefono, app, carta o di persona, deve seguire una serie di regole per proteggere le informazioni su tali pagamenti.

Sebbene la conformità PCI non sia richiesta dalla legge federale degli Stati Uniti, le società di carte di credito possono imporre sanzioni per inadempienza alle aziende che non proteggono adeguatamente i dati dei titolari di carta. Ma la cosa più critica è che non proteggere i dati dei titolari di carta rende più facile per i criminali rubare tali dati. Questo tipo di furto rappresenta un rischio significativo: secondo le proiezioni del Nilson Report, nei prossimi 10 anni si prevede che il settore globale delle carte di pagamento perderà 397 miliardi di dollari in tutto il mondo a causa delle frodi.

Cos'è PCI DSS?

PCI DSS sta per "Payment Card Industry Data Security standard”, ovvero Standard di sicurezza dei dati del settore delle carte di pagamento. Il framework PCI DSS guida le aziende con processi solidi per proteggere i dati delle transazioni dei titolari di carta e le informazioni di autenticazione della carta. Il suo scopo è proteggere sia i dati dei titolari di carta sia i dati di autenticazione con requisiti che aiutano a prevenire, rilevare e reagire agli incidenti di sicurezza.

La conformità PCI si applica a livello globale a tutti i commercianti che accettano carte di credito, carte di debito o carte prepagate. Ciò significa che le aziende di tutte le dimensioni, dal bar dietro l'angolo alla multinazionale di abbigliamento firmato, sono soggette alla conformità PCI, anche se si avvalgono di terze parti per l'elaborazione delle transazioni.

I dati sulle transazioni dei titolari di carta trattati dal PCI DSS includono:

• Numero di conto principale: il numero di conto sulla carta, in genere composto da 16 cifre
• Nome completo: il nome del titolare della carta
• Data di scadenza: il mese e l'anno di scadenza della carta
• Codice di servizio: il valore recuperato automaticamente dalla banda magnetica o dal chip della carta per le transazioni di persona

I dati di autenticazione sensibili coperti da PCI DSS includono:

• Dati di tracciamento completo: i dati della banda magnetica della carta o l'equivalente su un chip di carta di credito
• Codice di verifica della carta: il codice di sicurezza a tre o quattro cifre su una carta, che viene quasi sempre richiesto per gli acquisti online
• Data di scadenza: il mese e l'anno di scadenza della carta
• Numero di identificazione personale (PIN): il numero univoco, in genere di quattro cifre, che consente i prelievi bancomat e altre transazioni

Il framework PCI DSS

Il framework PCI DSS comprende 12 requisiti fondamentali (con oltre 300 sottorequisiti):

1. Installare e gestire i controlli di sicurezza della rete.
2. Non utilizzare password predefinite fornite dal fornitore sui dispositivi connessi alla rete.
3. Proteggi i dati degli account archiviati tramite la crittografia o altri metodi di protezione dei dati.
4. Crittografare in modo efficace i dati dei titolari di carta su reti pubbliche aperte.
5. Proteggere tutti i sistemi e le reti dal malware.
6. Mantenere sistemi e software sicuri.
7. Limita l'accesso ai dati dei titolari di carta in base alla "necessità di sapere".
8. Identificare gli utenti e autenticare l'accesso ai componenti del sistema.
9. Controllare e limitare l'accesso fisico ai dati dei titolari di carta.
10. Registrare e monitorare l'accesso ai dati dei titolari di carta.
11. Testare regolarmente i sistemi di sicurezza e di rete.
12. Mantenere una politica di sicurezza delle informazioni organizzativa.

Nota: si tratta solo di versioni riepilogative degli standard, non degli standard effettivi. Consulta il sito Web ufficiale del PCI Security Standards Council per maggiori dettagli.

Da dove hanno origine gli standard PCI?

PCI DSS e gli standard di sicurezza correlati sono amministrati dal PCI Security Standards Council (PCI SSC), un'organizzazione di settore fondata da American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc. Tra le organizzazioni partecipanti figurano anche commercianti, banche emittenti di carte di pagamento, elaboratori, sviluppatori e altri fornitori.

La prima versione, PCI DSS 1.0, è stata introdotta nel 2004. Nel 2006, PCI SSC ha rilasciato la versione 1.1, che chiedeva ai commercianti di rivedere tutte le applicazioni online e stabilire firewall per una maggiore sicurezza.

Lo standard PCI DSS ha continuato a evolversi nel corso degli anni in risposta alle violazioni dei dati e alle vulnerabilità emerse nell'ecosistema di elaborazione delle carte. L'attuale versione 4.0 è diventata l'unica versione attiva a partire dal 31 marzo 2024, quando è stata archiviata la versione 3.2.1.

PCI DSS v4.0 è stato pubblicato nel 2022 per "affrontare le minacce e le tecnologie emergenti e abilitare metodi innovativi per combattere le nuove minacce". Le organizzazioni hanno tempo fino al 31 marzo 2025 per conformarsi a tutti i requisiti PCI DSS v4.0.

Sebbene i requisiti fondamentali PCI DSS non siano cambiati sostanzialmente, la nuova versione 4.0 si concentra maggiormente sulle modalità di implementazione dei controlli di sicurezza. Tra gli esempi di modifiche vi sono:

• Aggiornata la terminologia del firewall per i controlli di sicurezza di rete per supportare una gamma più ampia di tecnologie
• Ampliamento dei requisiti per implementare l'autenticazione multifattoriale (MFA) per tutti gli accessi all'ambiente dei dati dei titolari di carta
• Maggiore flessibilità per le organizzazioni per dimostrare come stanno utilizzando metodi diversi per raggiungere gli obiettivi di sicurezza

Ecco qui un riepilogo delle principali modifiche dalla versione 3.2.1 alla versione 4.0.

Come viene applicata la conformità PCI?

La conformità PCI è garantita dai marchi di carte di credito responsabili dell'elaborazione dei pagamenti. Quando un commerciante (ad esempio qualcuno che accetta carte di pagamento come metodo di pagamento per beni e servizi) effettua un certo numero di transazioni con carta di pagamento all'anno, è tenuto a compilare un rapporto completo sulla conformità PCI DSS. Se non lo fanno, sono soggetti a multe.

Le sanzioni PCI DSS si basano su una serie di fattori, come la gravità della violazione, il tempo impiegato per risolvere o porre rimedio al problema e se si è verificata una violazione. Se un'azienda rimane non conforme a PCI, c'è anche la possibilità che non sia in grado di utilizzare le carte di credito per i pagamenti all'interno del proprio sistema.

Lo standard PCI DSS suddivide le aziende (o "commercianti", come le chiamano) in quattro livelli in base al numero di transazioni con carta elaborate in un periodo di 12 mesi.

I quattro livelli* sono:

• Livello 1: più di sei milioni di transazioni all'anno, su tutti i canali
• Livello 2: tra un milione e sei milioni di transazioni all'anno, su tutti i canali
• Livello 3: tra 20.000 e un milione di transazioni e-commerce all'anno
• Livello 4: meno di 20.000 transazioni di e-commerce all'anno

Il modo in cui un commerciante può ottenere la certificazione di conformità PCI cambia in base al suo livello. In generale, quante più transazioni gestiscono, tanto più rigorosi saranno i requisiti di verifica della conformità.

Ad esempio, i commercianti di livello 2-4 compilano e inviano un questionario di autovalutazione (SAQ) annuale. Esistono diversi tipi di questionari SAQ, a seconda del modo in cui il commerciante elabora le informazioni relative alla carta di pagamento. Le organizzazioni devono fare riferimento alle Istruzioni e linee guida SAQ per determinare quale SAQ (se presente) si applica alla propria organizzazione. Un riepilogo delle differenze nei requisiti SAQ nella versione 4.0 può essere trovato qui.

I commercianti di livello 1 (come Cloudflare), che gestiscono più di sei milioni di transazioni all'anno, vengono sottoposti a controlli annuali. I commercianti di livello 1 devono ricevere un Report sulla conformità da un PCI SSC Qualified Security Assessor (QSA) o PCI SSC Internal Security Assessor (ISA. Questo processo per i commercianti di livello 1 si svolge una volta all'anno o una volta al trimestre, a seconda dell'emittente della carta. I commercianti di livello 1 possono anche avere valutazioni della sicurezza dei dati in loco.

Infine, tutti i commercianti devono compilare e inviare un modulo di attestazione di conformità (AOC), che è sostanzialmente una dichiarazione alla società della carta di credito che il commerciante è conforme allo standard PCI.

*Queste definizioni sono per lo più accurate, ma ogni marchio di carte di credito definisce e valuta la conformità in modo leggermente diverso. È importante verificare con ogni società di carte di credito i criteri specifici del programma.

Cloudflare può aiutare i clienti a soddisfare i requisiti PCI?

Cloudflare mantiene la conformità PCI DSS di livello 1 ed è conforme a PCI dal 2014. Molti dei nostri clienti ci chiedono anche di fornire una copia del nostro AOC, che sostanzialmente attesta alla società della carta di credito che siamo conformi allo standard PCI. Se non avessimo questa certificazione, non potremmo lavorare con determinati clienti e la nostra banca acquirente non ci consentirebbe di utilizzare le carte di pagamento come metodo di pagamento per i nostri servizi.

Aiutiamo inoltre i nostri clienti a mantenere la sicurezza attraverso i loro siti Web e le loro applicazioni. Ecco alcuni esempi di come Cloudflare può aiutare le aziende a soddisfare determinati requisiti PCI DSS:

• I clienti che utilizzano Cloudflare Web Application Firewall, abilitano il set di regole OWASP e ottimizzano le regole per il loro ambiente, soddisferanno l'esigenza di proteggere le applicazioni Web e di soddisfare il requisito PCI 6.4.1.
• Cloudflare consente ai commercianti di utilizzare le ultime versioni della crittografia TLS, un altro aspetto importante della conformità PCI.
• Molte aziende fanno affidamento sulle VPN aziendali e su altri strumenti di segmentazione per ridurre la portata dell'ambiente dei dati dei titolari delle carte. Cloudflare Access fornisce un altro mezzo di segmentazione utilizzando la rete globale di Cloudflare come servizio VPN per accedere alle risorse interne. Inoltre, queste sessioni possono essere configurate per disconnettersi dopo 15 minuti di inattività e aiutare così i clienti a soddisfare i requisiti 8.2.8.
• I nuovi requisiti sulla sicurezza lato client, 6.4.3 e 11.6.1 in PCI DSS v4.0, specificano la necessità di conoscere e autorizzare JavaScript in esecuzione su tutte le pagine di pagamento, nonché la necessità di essere avvisati quando uno qualsiasi di questi JavaScript viene modificato. Cloudflare Page Shield monitora costantemente interi siti web, oltre alle pagine di pagamento, e invia un avviso quando uno script viene modificato o se viene ritenuto dannoso.

Scopri di più sui servizi di sicurezza per siti Web e applicazioni di Cloudflare e sulle funzioni integrate di sicurezza, privacy e conformità di una connettività cloud.