PCI-DSS, che sta per Payment Card Industry Data Security Standard, è uno standard di sicurezza dei dati creato per proteggere le informazioni sensibili delle carte di pagamento. È un insieme di regole e requisiti che le aziende operanti con dati delle carte di pagamento devono seguire per garantire la sicurezza delle transazioni con carte di credito e debito. PCI-DSS è stato sviluppato dal Consorzio PCI Security Standards Council, che include rappresentanti delle principali reti di carte di pagamento come Visa, Mastercard, American Express, Discover e JCB. Questo consorzio collabora per stabilire gli standard e le linee guida per la protezione dei dati delle carte di pagamento. Essere conformi a PCI-DSS non è una scelta opzionale, ma una responsabilità che ricade su molte organizzazioni, in particolare sui commercianti che accettano pagamenti con carta e – più in generale – sulle aziende che elaborano, memorizzano o trasmettono dati delle carte di pagamento. La conformità a PCI-DSS è essenziale per proteggere i dati dei clienti, prevenire le frodi e mantenere la fiducia degli utenti nel sistema dei pagamenti con carte elettroniche. Alla base della nascita di PCI-DSS, la necessità di proteggere i dati delle carte di pagamento in un mondo sempre più orientato verso le transazioni digitali. Il Consorzio PCI Security Standards Council è stato fondato nel 2006 da importanti reti di carte di pagamento, tra cui Visa, Mastercard, American Express, Discover e JCB, con l’obiettivo di creare uno standard di sicurezza comune.

Prima dell’introduzione di PCI-DSS, ciascuna rete di pagamento aveva le proprie linee guida e requisiti per la sicurezza dei dati delle carte; questa frammentazione comportava confusione e incoerenza nell’implementazione delle misure di sicurezza, lasciando spesso vulnerabili le informazioni dei titolari delle carte. Il Consorzio PCI Security Standards Council ha lavorato per unificare gli standard di sicurezza e ha introdotto la prima versione di PCI-DSS nel 2004. Nel corso degli anni, sono state pubblicate diverse versioni aggiornate per adattarsi all’evoluzione delle minacce informatiche e alle nuove tecnologie. Lo scenario applicativo odierno delle reti di pagamento ha reso obbligatorio per tutti i vari operatori, il rispetto dei requisiti di PCI-DSS. Questo ha contribuito a migliorare la sicurezza dei dati delle carte di pagamento a livello globale.

PCI-DSS è stato sviluppato con una serie di obiettivi fondamentali che mirano a garantire la sicurezza dei dati delle carte di pagamento e a prevenire frodi e violazioni dei dati. Ecco alcuni dei principali obiettivi di PCI-DSS:

  • protezione dei dati delle carte di pagamento: l’obiettivo principale di PCI-DSS è proteggere i dati sensibili delle carte di pagamento. Ciò include informazioni come i numeri delle carte, le date di scadenza, i codici di sicurezza e altre informazioni personali associate alle carte.
  • prevenzione delle frodi: PCI-DSS mira a ridurre il rischio di frodi legate alle transazioni con carte di pagamento. Implementando misure di sicurezza adeguate, come la crittografia dei dati, il controllo degli accessi e il monitoraggio delle transazioni sospette, si possono prevenire le attività fraudolente;
  • promozione delle migliori pratiche di sicurezza: PCI-DSS stabilisce requisiti di sicurezza rigorosi che richiedono alle organizzazioni di seguire le migliori pratiche di sicurezza. Ciò include la gestione delle vulnerabilità, l’implementazione di politiche di sicurezza robuste e la formazione del personale per garantire una cultura di sicurezza;
  • fiducia dei clienti: essere conformi a PCI-DSS aiuta a creare fiducia tra i titolari di carte di pagamento; sapere che i dati delle proprie carte sono adeguatamente protetti fornisce una maggiore sicurezza ai clienti e può influenzare positivamente la loro decisione di fare affari con un’azienda o di acquistare prodotti e servizi;
  • conformità legale: la conformità a PCI-DSS è spesso un requisito legale o contrattuale per molte organizzazioni che accettano pagamenti con carta; adempiere a queste norme è fondamentale per evitare sanzioni, multe e altre conseguenze legali.

Raggiungere gli obiettivi di PCI-DSS richiede un impegno continuo – da parte delle organizzazioni – nel seguire le linee guida e le misure di sicurezza necessarie.

PCI-DSS si applica a diverse organizzazioni che operano con dati delle carte di pagamento. Ecco una panoramica dei soggetti a cui si applica e dei settori in cui è rilevante:

  1. Commercianti: I commercianti che accettano pagamenti con carta, sia fisicamente presso i punti vendita che on-line, devono essere conformi a PCI-DSS. Questo include negozi al dettaglio, ristoranti, hotel, e-commerce e molti altri tipi di attività commerciali.
  2. Fornitori di servizi di pagamento: Le aziende che offrono servizi di elaborazione dei pagamenti, come i processori di carte di credito e le società di servizi di pagamento, devono rispettare i requisiti di PCI-DSS. Questi fornitori di servizi svolgono un ruolo fondamentale nell’elaborazione e nella trasmissione sicura dei dati delle carte di pagamento.
  3. Providers di elaborazione di dati delle carte o gateways di pagamento: Le organizzazioni che elaborano, memorizzano o trasmettono dati delle carte di pagamento devono essere conformi a PCI-DSS. Questi possono includere società di hosting web, servizi di cloud computing, fornitori di servizi di archiviazione dei dati e altri soggetti che gestiscono informazioni sensibili delle carte di pagamento.

È importante notare che le organizzazioni coinvolte nel trattamento dei dati delle carte di pagamento possono essere tenute a rispettare diversi livelli di conformità a PCI-DSS, a seconda del loro volume di transazioni e del livello di rischio associato alle operazioni con carte di pagamento.

La conformità a PCI-DSS è essenziale per queste organizzazioni perché protegge i dati dei titolari di carte, riduce il rischio di frodi, preserva la reputazione aziendale e garantisce la conformità alle norme e ai requisiti legali.

PCI-DSS stabilisce 12 requisiti di conformità che le organizzazioni devono soddisfare per garantire la sicurezza dei dati delle carte di pagamento. Questi requisiti coprono diverse aree chiave della sicurezza e sottolineano l’importanza di implementare misure di protezione adeguate. Di seguito sono elencati i 12 requisiti di conformità di PCI-DSS:

  1. Installare e mantenere una configurazione di firewall per proteggere i dati delle carte di pagamento;
  2. non utilizzare le password di default fornite dai fornitori e altri parametri di sicurezza;
  3. proteggere i dati delle carte di pagamento conservati in archivio;
  4. crittografare i dati delle carte di pagamento che vengono trasmessi attraverso reti pubbliche o wireless;
  5. utilizzare software antivirus e programmi anti-malware, e mantenere aggiornati questi programmi;
  6. sviluppare e gestire applicazioni software sicure;
  7. limitare l’accesso ai dati delle carte di pagamento solo a personale autorizzato;
  8. assegnare un’identificazione unica a ogni soggetto che abbia accesso ai dati delle carte di pagamento;
  9. limitare l’accesso fisico e/o logico ai dati delle carte di pagamento;
  10. monitorare l’accesso ai dati delle carte di pagamento, evidenziando attività sospette;
  11. effettuare test regolari dei sistemi e dei processi di sicurezza;
  12. mantenere una policy di sicurezza delle informazioni che venga regolarmente aggiornata e seguita.

Raggiungere e mantenere la conformità a PCI-DSS richiede un impegno costante da parte delle organizzazioni nel seguire queste misure di sicurezza e implementare le necessarie migliorie. Adempiere a questi requisiti non solo aiuta a proteggere i dati delle carte di pagamento, ma può anche contribuire a prevenire frodi, preservare la reputazione aziendale e garantire la conformità alle norme e ai requisiti legali.

Come possiamo vedere, molti dei requisiti di conformità a PCI-DSS sono richiesti anche da altre normative o frameworks di sicurezza, come GDPR e ISO 2700x. Per esempio, alcuni ambiti di “sovrapposizione” con il GDPR sono:

  1. protezione dei dati: sia PCI-DSS che il GDPR richiedono la protezione dei dati; entrambi richiedono misure di sicurezza adeguate per proteggere le informazioni personali e/o finanziarie dei titolari di carte di pagamento e/o dei soggetti interessati;
  2. controllo degli accessi: entrambe le normative richiedono il controllo degli accessi ai dati; questo implica l’adozione di uno sistema di autenticazione, atto ad assegnare e gestire credenziali uniche agli utenti autorizzati, oltre che  alla limitazione dell’accesso agli ambiti necessari;
  3. crittografia dei dati: tanto PCI-DSS quanto il GDPR richiedono la crittografia dei dati sensibili, sia in transito che durante la loro memorizzazione; la crittografia aiuta a garantire la sicurezza dei dati e a prevenire accessi non autorizzati e data breaches;
  4. gestione delle vulnerabilità: la gestione delle vulnerabilità dei sistemi è necessaria in entrambi i fronti; ciò include l’identificazione e la correzione regolare delle vulnerabilità di sicurezza attraverso patch ed aggiornamenti;
  5. registrazione delle attività degli amministratori di sistema: Sia PCI-DSS che il GDPR richiedono la registrazione delle attività degli amministratori IT che accedono ai dati sensibili; questo aiuta a monitorare l’accesso e a rilevare eventuali utilizzi impropri o non autorizzati dei dati;
  6. Politiche di sicurezza delle informazioni: Entrambe le normative richiedono l’implementazione di politiche e procedure di sicurezza delle informazioni. Queste politiche definiscono le modalità di gestione dei dati sensibili e promuovono una cultura di sicurezza all’interno dell’organizzazione.

Se un’organizzazione è già conformità con il GDPR, molti dei requisiti di sicurezza richiesti da PCI-DSS potrebbero già essere soddisfatti. Tuttavia, è importante sottolineare che PCI-DSS è specificamente focalizzato sulla sicurezza dei dati delle carte di pagamento, mentre il GDPR ha un ambito più ampio, riguardante la protezione di tutti i dati personali.

Le organizzazioni che sono già conformi al GDPR possono beneficiare di un punto di partenza solido per ottenere la conformità a PCI-DSS, ma è comunque necessario verificare i requisiti specifici di PCI-DSS e adottare le misure di sicurezza aggiuntive necessarie per garantire la conformità completa.

Per raggiungere la conformità a PCI-DSS e garantire la sicurezza dei dati delle carte di pagamento, è importante adottare alcune best practice. Queste best practice comprendono:

  1. sensibilizzazione e formazione: assicurarsi che il personale sia adeguatamente informato sui requisiti di sicurezza di PCI-DSS e sulla gestione corretta dei dati delle carte di pagamento; fornire regolari sessioni di formazione per mantenere il personale aggiornato sulle pratiche di sicurezza;
  2. valutazione dei rischi: occorre effettuare una seria valutazione dei rischi, al fine di identificare le potenziali vulnerabilità e i punti critici nel sistema di gestione dei dati delle carte di pagamento; questo permette di adottare misure preventive adeguate (comportamento pro-attivo);
  3. segmentazione della rete: separare la rete in subnets per compartimentare e limitare l’accesso ai dati delle carte di pagamento solo alle persone autorizzate ed ai sistemi necessari; ciò contribuisce a prevenire l’accesso non autorizzato o la diffusione dei dati in caso di violazione della sicurezza;
  4. monitoraggio continuo: implementare soluzioni di monitoraggio che consentano di rilevare tempestivamente eventuali attività sospette o anomalie nella rete o nei sistemi; questo è necessario per identificare e rispondere prontamente alle potenziali minacce;
  5. aggiornamenti e patch: mantenere tutti i sistemi, applicazioni e dispositivi di rete aggiornati con le ultime patch di sicurezza, al fine di proteggere i sistemi informatici, rimuovendo o minimizzando le vulnerabilità note, in modo da prevenire eventuali problemi di sicurezza;
  6. audit e test periodici: condurre regolarmente audit interni e test di sicurezza per garantire che i controlli e le misure di sicurezza siano implementati correttamente ed effettivamente operativi; questo permette di individuare eventuali lacune o vulnerabilità e di adottare le azioni correttive necessarie;
  7. gestione degli accessi privilegiati: limitare l’accesso privilegiato (sys-admins) solo alle persone che ne hanno effettivamente bisogno e monitorare attentamente l’attività degli utenti con accesso privilegiato; ciò contribuisce a prevenire abusi o utilizzi impropri dei dati delle carte di pagamento;
  8. conservazione dei dati: assicurare la conservazione dei dati delle carte solo per il tempo necessario e in conformità con le normative applicabili; rimuovere in modo sicuro i dati non più necessari e adottare una rigorosa politica di limitazione dei tempi di conservazione dei dati;

Seguire queste best practice può aiutare le organizzazioni a garantire la conformità a PCI-DSS e a proteggere in modo efficace i dati delle carte di pagamento dai rischi di violazione della sicurezza.

VANTAGGI

La conformità a PCI-DSS offre significativi vantaggi alle organizzazioni che gestiscono dati delle carte di pagamento, come:

  1. Protezione dei dati dei clienti: La conformità a PCI-DSS aiuta a garantire la protezione dei dati sensibili dei clienti, come i numeri delle carte di pagamento, riducendo il rischio di accesso non autorizzato, furto o utilizzo improprio delle informazioni.
  2. Prevenzione delle frodi: La conformità a PCI-DSS richiede l’implementazione di controlli di sicurezza rigorosi che contribuiscono a prevenire le frodi legate alle carte di pagamento. Ciò può ridurre i costi associati alle frodi e preservare la fiducia dei clienti.
  3. Reputazione aziendale: Essere conformi a PCI-DSS dimostra agli utenti, ai partner commerciali e alle autorità di vigilanza l’impegno dell’organizzazione per la sicurezza dei dati. Ciò può favorire la fiducia e migliorare la reputazione aziendale.
  4. Competitività nel mercato: Essere conformi a PCI-DSS può essere un fattore differenziante nel mercato. Le organizzazioni che dimostrano di adottare misure di sicurezza rigorose possono attrarre clienti che attribuiscono grande importanza alla protezione dei dati personali.
  5. Collaborazione con i partner commerciali: La conformità a PCI-DSS può facilitare la collaborazione con partner commerciali, fornitori di servizi di pagamento e istituti finanziari che richiedono livelli adeguati di sicurezza dei dati delle carte di pagamento per l’interazione e lo scambio di informazioni.
  6. Riduzione dei costi operativi: La conformità a PCI-DSS richiede l’implementazione di processi e controlli di sicurezza efficaci. Questi controlli possono contribuire a ridurre i rischi di violazione della sicurezza, il che a sua volta può ridurre i costi associati alla gestione delle violazioni, alle indagini e alle azioni correttive.
  7. Riduzione dei rischi legali e delle sanzioni: La conformità a PCI-DSS riduce il rischio di violazioni delle normative sulla protezione dei dati e può aiutare a evitare sanzioni legali, multe o altri provvedimenti punitivi derivanti da violazioni della sicurezza dei dati.

Per garantire una conformità continuativa a PCI-DSS, è importante adottare una serie di linee guida e buone prassi; alcune di queste sono:

  1. creare una cultura di sicurezza: promuovere una cultura aziendale orientata alla sicurezza dei dati e alla conformità a PCI-DSS; assicurarsi che tutti i dipendenti siano consapevoli delle politiche e dei controlli di sicurezza e fornire formazione regolare sulle best practice di sicurezza;
  2. effettuare valutazioni periodiche della conformità: condurre regolarmente valutazioni interne per verificare la conformità ai requisiti di PCI-DSS; identificare eventuali lacune e prendere provvedimenti correttivi tempestivi.
  3. monitorare costantemente i sistemi: occorre implementare soluzioni di monitoraggio e rilevamento delle intrusioni per individuare eventuali attività sospette o anomale nei sistemi che gestiscono i dati delle carte di pagamento;
  4. aggiornare regolarmente le politiche di sicurezza: mantenere le politiche di sicurezza aggiornate per riflettere i cambiamenti tecnologici e le nuove minacce alla sicurezza, ed assicurarsi che le politiche siano comunicate a tutto il personale e che vengano rispettate in modo coerente;
  5. implementare validi controlli di accesso: si debbono adottare misure per limitare l’accesso ai dati delle carte di pagamento solo al personale autorizzato; utilizzare strumenti di autenticazione forte, come 2FA, per proteggere gli account con accesso ai dati delle carte;
  6. monitorare e gestire i log degli eventi; mantenere traccia e analizzare i log degli eventi dei sistemi per individuare potenziali violazioni della sicurezza o comportamenti anomali;
  7. gestire la sicurezza delle reti: implementare misure di sicurezza per proteggere le reti aziendali, come firewall, crittografia e sistemi di rilevamento delle intrusioni; contestualmente, assicurarsi che le reti wireless siano adeguatamente protette da accessi non autorizzati o attacchi esterni;
  8. aggiornare e proteggere i sistemi, giornalmente: mantenere aggiornati i sistemi operativi, le applicazioni e gli strumenti di sicurezza utilizzati per gestire i dati delle carte di pagamento aggiornati con frequenza giornaliera; applicare regolarmente gli aggiornamenti di sicurezza e proteggere i sistemi da malware e attacchi informatici con misure adeguate al livello di rischio;
  9. conduzione di test periodici: effettuare test periodici di vulnerabilità e penetration test per identificare eventuali punti deboli nei sistemi e nelle infrastrutture e/o mis-configurazioni; adottare immediati provvedimenti per correggere le vulnerabilità scoperte;
  10. documentare i processi di sicurezza: mantenere una documentazione dettagliata dei processi di sicurezza implementati per dimostrare la conformità a PCI-DSS; questo include politiche, procedure operative standard e registri delle attività di sicurezza.

Seguendo queste linee guida principali, le organizzazioni possono mantenere un livello elevato di conformità a PCI-DSS nel lungo termine e garantire la sicurezza dei dati delle carte di pagamento.

Questa conformità, come accennato, ha riflessi anche sulla sicurezza degli altri dati trattati dalle aziende.

Abbiamo sviluppato un protocollo operativo integrato GDPR / PCI-DSS per le realtà di piccole e medie dimensioni che non possono separare le due infrastrutture informative (e quindi gli adempimenti) come nel caso dei piccoli siti di e-commerce.

Contattateci per una prima valutazione non vincolante.