Payment Card Industry Data Security Standard

Questa voce è orfanaQuesta voce è orfana, ovvero priva di collegamenti in entrata da altre voci.
Inseriscine almeno uno pertinente e utile e rimuovi l'avviso. Segui i suggerimenti dei progetti di riferimento 1, 2.
Grammatica da correggere!
Questa voce o sezione sugli argomenti informatica e economia contiene errori ortografici o sintattici oppure è scritta in una forma migliorabile.
Commento: Il testo risulta non scorrevole in alcuni tratti, a causa di una traduzione non semplice. Si consiglia di visionare la voce in inglese in caso di perplessità.
Questa voce è da wikificare
Questa voce o sezione sull'argomento informatica non è ancora formattata secondo gli standard.

Il Payment Card Industry Data Security Standard (PCI DSS) è uno standard di sicurezza delle informazioni utilizzato per gestire le carte di credito dei principali circuiti. Lo standard è gestito dal Payment Card Industry Security Standards Council (PCI SSC) e il suo utilizzo è imposto dai circuiti bancari. È stato creato per controllare adeguatamente i dati delle carte e ridurre così le frodi sulle carte di credito. La convalida della conformità a tale protocollo viene eseguita annualmente o con cadenza trimestrale.[1]

Storia

I principali circuiti bancari avevano diversi programmi di sicurezza:

  • Visa (CISP, Cardholder Information Security Program)[2]
  • Mastercard (SDP, Site Data Protection)
  • American Express (DSOP, Data Security Operating Policy)[3]
  • JCB (DSP, Data Security Program)

Le intenzioni di ognuna delle aziende erano quelle di creare un ulteriore livello di protezione per gli emittenti di carte, garantendo che i commercianti soddisfino livelli minimi di sicurezza quando archiviano, elaborano e trasmettono i dati delle varie carte. Per risolvere i problemi di interoperabilità tra gli standard esistenti, lo sforzo congiunto delle principali società di carte di credito portò nel dicembre del 2004 alla codifica e rilascio di PCI DSS, versione 1.0. Da allora, PCI DSS è stato implementato in tutto il mondo.

Assieme a esso si costituì il Payment Card Industry Security Standards Council (PCI SSC) per allineare le loro politiche creando il PCI DSS.[4] MasterCard, American Express, Visa, JCB International e Discover Financial Services istituirono il PCI SSC nel settembre del 2006 come entità amministrativa e di governo che impone l'evoluzione e lo sviluppo del PCI DSS.[5] Le organizzazioni private indipendenti possono partecipare allo sviluppo del PCI dopo essersi registrate. Ogni organizzazione partecipante si unisce a un SIG (Gruppo di Interesse Speciale) e contribuisce alle attività affidate dal gruppo. Sono state rese disponibili le seguenti versioni di PCI DSS:[6]

Versione Data Appunti
1.0 15 dicembre 2004
1.1 Settembre 2006 chiarimenti e piccole revisioni
1.2 Ottobre 2008 maggiore chiarezza, maggiore flessibilità e gestione dei rischi e delle minacce in evoluzione
1.2.1 Luglio 2009 correzioni minori progettate per creare maggiore chiarezza e coerenza tra gli standard e i documenti di supporto
2.0 Ottobre 2010
3.0 Novembre 2013 attivo dal 1 gennaio 2014 al 30 giugno 2015
3.1 Aprile 2015 fino al 31 ottobre 2016
3.2 Aprile 2016 fino al 31 dicembre 2018
3.2.1 Maggio 2018
4.0 Marzo 2022 terminologia firewall aggiornata, espansione del Requisito 8[7] per implementare l'autenticazione a più fattori (MFA), maggiore flessibilità per dimostrare la sicurezza e analisi dei rischi mirate per stabilire il funzionamento e la gestione dell'esposizione al rischio[8]

Il PCI DSS prevede dodici requisiti di conformità, organizzati in sei gruppi correlati noti come obiettivi di controllo:[9]

  1. Costruire e mantenere una rete e i suoi sistemi sicuri
  2. Proteggere i dati dei titolari di carta
  3. Mantenere un programma di gestione delle vulnerabilità
  4. Implementare forti misure di controllo degli accessi
  5. Monitorare e testare regolarmente le reti
  6. Mantenere una politica di sicurezza delle informazioni

Questi sei gruppi non hanno sempre avuto la stessa composizione nelle varie versioni rilasciate; tuttavia, i primi dodici requisiti non furono mai modificati nella loro sostanza sin dalla nascita dello standard. Ciascun requisito e sottorequisito è suddiviso in tre sezioni:

  1. Definizione del requisito. L'approvazione PCI DSS viene concessa nel momento dell'implementazione del requisito.
  2. Test: i processi e le metodologie svolti dal valutatore per la conferma della corretta implementazione.
  3. Documentazione: spiega lo scopo del requisito e il contenuto corrispondente, che può aiutare nella sua corretta definizione.

Nella versione 3.2.1 del PCI DSS, i dodici requisiti sono:

  1. Installare e mantenere un sistema firewall per proteggere i dati delle carte.
  2. Evitare le impostazioni predefinite dal fornitore per le password di sistema e altri parametri di sicurezza.
  3. Proteggere i dati dei titolari delle carte memorizzati.
  4. Crittografare la trasmissione dei dati dei titolari di carta su reti pubbliche aperte.
  5. Proteggere tutti i sistemi dai malware e aggiornare periodicamente i software o i programmi antivirus.
  6. Sviluppare e mantenere sistemi e applicazioni sicure.
  7. Limitare l'accesso ai dati delle carte alle mere esigenze aziendali (need-to-know basis[10]).
  8. Identificare e autenticare l'accesso ai componenti del sistema.
  9. Limitare l'accesso fisico ai dati dei titolari di carta.
  10. Traccia e monitora l'accesso alle risorse di rete e ai dati dei titolari di carta.
  11. Testare regolarmente i sistemi e i processi di sicurezza.
  12. Mantenere una politica di sicurezza delle informazioni che affronti la sicurezza delle informazioni per tutto il personale.

Livelli di segnalazione

Le aziende soggette agli standard PCI DSS devono essere conformi a tale standard; il modo in cui si dimostra la conformità dipende dalla quantità annuale e dalle modalità scelte per effettuare le transazioni. A prescindere da ciò, Un'acquiring bank[11] o un circuito di pagamento può comunque inserire manualmente un'organizzazione in un livello di reporting a sua discrezione.[12] I livelli sono:

  • Livello 1 – Oltre sei milioni di transazioni all'anno
  • Livello 2 – Tra uno e sei milioni di transazioni
  • Livello 3 – Tra 20.000 e un milione di transazioni e tutti i commercianti di e-commerce
  • Livello 4 – Meno di 20.000 transazioni[13][14]

Convalida della conformità

La convalida della conformità implica la valutazione e la conferma che i controlli e le procedure di sicurezza sono stati implementati come da protocollo. Essa avviene attraverso una valutazione annuale, da parte di un ente esterno, o tramite autovalutazione.[15]

Rapporto sulla conformità

Un rapporto sulla conformità (ROC, Report On Compliance) viene condotto da un valutatore di sicurezza qualificato PCI (QSA, Qualified Security Assessor) e ha lo scopo di fornire una propria convalida della conformità di un'entità allo standard PCI DSS. Un ROC completo consiste in due documenti: un modello di reporting ROC riportante una spiegazione dettagliata dei test completati e un attestato di conformità (AOC, Attestation of Compliance) che documenta la conclusione generale del ROC con esito positivo.

Questionario di autovalutazione

Il modulo di autovalutazione PCI DSS (SAQ, Self-Assessment Questionnaire) è uno strumento di convalida destinato a commercianti e fornitori di servizi di piccole e medie dimensioni per valutare il proprio stato di conformità PCI DSS. Esistono diversi tipi di SAQ, ciascuno con una lunghezza diversa a seconda del tipo di entità e del modello di pagamento utilizzato. Ogni domanda SAQ ha una risposta a cui bisogna rispondere con un "sì" o un "no": qualsiasi risposta negativa richiede che l'entità autovalutante indichi la sua futura implementazione. Come per i ROC, bisogna compilare anche un AOC basato sul SAQ.

Valutatori della sicurezza

Il PCI SSC dispone di un programma per certificare aziende o individui, al fine di far eseguire le diverse attività di valutazione.

Valutatore Qualificato della Sicurezza

Un valutatore qualificato della sicurezza (QSA, Qualified Security Assessor) è un individuo certificato dal PCI SSC per convalidare la conformità PCI DSS di un altro ente. I QSA devono essere impiegati da una società QSA, la quale deve a sua volta essere certificata dal PCI SSC.[16][17]

Valutatore alla Sicurezza Interna

Un valutatore della sicurezza interna (ISA, Internal Security Assessor) è un individuo che ha ottenuto un certificato dal PCI SSC per la propria organizzazione e può pertanto condurre autovalutazioni PCI per la propria organizzazione. Il programma ISA è stato progettato per aiutare i commercianti di livello 2 a soddisfare i requisiti di convalida della conformità Mastercard.[18] Gli ISA hanno il dovere di collaborare con i QSA.[15]

Obbligo della certificazione

Sebbene lo standard PCI DSS debba essere implementato da tutte le entità che elaborano, archiviano o trasmettono i dati delle carte, la sua convalida formale non è obbligatoria per tutti. Visa e Mastercard richiedono che commercianti e fornitori di servizi abbiano la certificazione; Visa offre anche un Technology Innovation Program (TIP), ossia un programma alternativo che consente ai commercianti qualificati di interrompere la valutazione annuale di convalida PCI DSS. I commercianti sono idonei se adottano precauzioni alternative contro le frodi, come l'uso di EMV o della crittografia point-to-point.

Le banche emittenti non sono tenute a sottoporsi alla convalida PCI DSS, sebbene abbiano l'obbligo di proteggere i dati sensibili in conformità a esso. Le acquiring bank, invece, devono conformarsi allo standard PCI DSS e far convalidare la propria conformità mediante un audit. Qualora dovesse avvenire una violazione dei dati, qualsiasi entità compromessa che al momento della violazione non fosse conforme allo standard PCI DSS può essere soggetta a sanzioni aggiuntive (come multe) da parte dei circuiti delle carte o delle acquiring bank.

Voci correlate

Note

  1. ^ pcisecuritystandards.org, https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf Titolo mancante per url url (aiuto). URL consultato il September 4, 2018.
  2. ^ (EN) Ben Dwyer, What is the Visa Cardholder Information Security Program?, su CardFellow Credit Card Processing Blog, 21 luglio 2016. URL consultato l'11 gennaio 2024.
  3. ^ (EN) Data Security Operating Policy (PDF), su American Express, Aprile 2021. URL consultato l'11 gennaio 2024.
  4. ^ vol. 12, DOI:10.1109/SURV.2010.031810.00083, https://oadoi.org/10.1109/SURV.2010.031810.00083. Parametro titolo vuoto o mancante (aiuto)
  5. ^ (EN) PCI Security Standards Council, https://www.pcisecuritystandards.org/about_us/ Titolo mancante per url url (aiuto). URL consultato il 15 dicembre 2022.
  6. ^ pcisecuritystandards.org, https://www.pcisecuritystandards.org/document_library Titolo mancante per url url (aiuto). URL consultato il 12 novembre 2020.
  7. ^ (EN) Surkay Baykara, PCI DSS Requirement 8 Explained, su PCI DSS GUIDE, 7 aprile 2020. URL consultato l'11 gennaio 2024.
  8. ^ pcisecuritystandards.org, https://www.pcisecuritystandards.org/about_us/press_releases/pr_03312022 Titolo mancante per url url (aiuto). URL consultato il April 8, 2022.
  9. ^ pcisecuritystandards.org, https://www.pcisecuritystandards.org/documents/PCI_DSS-QRG-v3_2_1.pdf?agreement=true Titolo mancante per url url (aiuto). URL consultato il 12 novembre 2020.
  10. ^ (EN) on a need-to-know basis, su Cambridge Dictionary. URL consultato l'11 gennaio 2024.
  11. ^ Ossia l'intermediario tra un commerciante e un cliente durante la transazione digitale. [1]
  12. ^ www.pcisecuritystandards.org, https://www.pcisecuritystandards.org/ Titolo mancante per url url (aiuto). URL consultato il February 21, 2007.
  13. ^ visaeurope.com, https://www.visaeurope.com/receiving-payments/security/merchants Titolo mancante per url url (aiuto). URL consultato il February 8, 2019.
  14. ^ www.mastercard.us, https://www.mastercard.us/en-us/merchants/safety-security/security-recommendations/merchants-need-to-know.html Titolo mancante per url url (aiuto). URL consultato il February 8, 2019.
  15. ^ a b "Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures Version 3.2" (PDF), su pcisecuritystandards.org. URL consultato il September 4, 2018 (archiviato dall'url originale il 19 luglio 2023).
  16. ^ listings.pcisecuritystandards.org, https://listings.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors Titolo mancante per url url (aiuto). URL consultato il May 18, 2023.
  17. ^ docs-prv.pcisecuritystandards.org, https://docs-prv.pcisecuritystandards.org/Programs%20and%20Certification/Qualified%20Security%20Assessor%20(QSA)/QSA_Qualification_Requirements_v4.0.pdf Titolo mancante per url url (aiuto).
  18. ^ FierceRetail, https://www.fierceretail.com/operations/avoid-paying-for-pci-certification-you-don-t-need Titolo mancante per url url (aiuto). URL consultato il March 26, 2018.

Collegamenti esterni

  • Sito ufficiale del Consiglio per gli standard di sicurezza PCI