Guida sulla conformità alle norme PCI

Lo Standard di sicurezza dei dati PCI (PCI DSS) stabilisce lo standard minimo per la sicurezza dei dati. Di seguito è riportata una guida su come gestire la conformità alle norme PCI e su quali aiuti può offrire Stripe in questo ambito.

Foto profilo di Mike Dahn
Mike Dahn

Mike Dahn è a capo dei rapporti di politica della sicurezza di Stripe. È formatore, revisore e responsabile dell'implementazione in ambito PCI.

  1. Introduzione
  2. Panoramica sullo standard di protezione dei dati PCI (PCI DSS)
    1. Gestire i dati delle carte
    2. Memorizzare i dati in sicurezza
    3. Convalida annuale
  3. Guida passo passo per la conformità alle norme PCI DSS
    1. 1. Individuare i requisiti
    2. 2. Mappare il flusso di dati
    3. 3. Verificare i controlli e i protocolli di sicurezza
    4. 4. Monitorare e gestire
  4. In che modo Stripe aiuta le organizzazioni a ottenere e gestire la conformità alle norme PCI
  5. Conclusioni
    1. La conformità alle norme PCI aiuta, ma non è abbastanza.

La versione 4.0 dello standard PCI DSS entrerà in vigore il 31 marzo 2024

Dal 2005, oltre 11 miliardi di record dei consumatori sono stati compromessi a seguito di oltre 8.500 violazioni di dati. Queste sono le cifre più aggiornate fornite da Privacy Rights Clearinghouse, che fornisce report sulle violazioni di dati e di sicurezza che riguardano i consumatori dal 2005.

Per aumentare la sicurezza dei dati dei consumatori e l'affidabilità dell'ecosistema di pagamento è stato stabilito uno standard minimo per la protezione dei dati. Nel 2006 Visa, Mastercard, American Express, Discover e JCB hanno costituito l'Ente responsabile degli standard di protezione PCI (Payment Card Industry Security Standards Council o PCI SSC) al fine di stabilire e gestire degli standard di sicurezza a cui si devono attenere le aziende che trattano i dati delle carte di credito. Prima della nascita del PCI SSC, ognuna di queste cinque aziende di carte di credito aveva i propri standard di sicurezza, anche se presentavano tutti requisiti e obiettivi simili. Con la fondazione del PCI SSC, queste aziende hanno creato uno standard uniforme di protezione dei dati, il PCI Data Security Standards o PCI DSS, che garantisce un livello di riferimento per la protezione dei consumatori e delle banche nell'era di Internet.

Capire il PCI DSS può rappresentare una sfida

Se il tuo modello di business prevede di trattare carte di credito, potresti dover soddisfare ognuno degli oltre 300 controlli di sicurezza del PCI DSS. Esistono oltre 1.800 pagine di documentazione ufficiale sul PCI DSS pubblicate dall'Ente responsabile degli standard di protezione PCI e oltre 300 pagine di documentazione solo per capire quali moduli usare per convalidare la conformità alle norme PCI. Questi documenti richiedono più di 72 ore solo per essere letti.

Di seguito troverai una guida passo passo per convalidare e mantenere la conformità alle norme PCI, che ti permetterà di alleggerire il carico di lavoro.

Panoramica sullo standard di protezione dei dati PCI (PCI DSS)

Il PCI DSS è lo standard internazionale per la protezione dei dati e coinvolge tutte quelle entità che si occupano di memorizzare, elaborare o trasmettere i dati dei titolari di carta e/o i dati sensibili di autenticazione. Il PCI DSS stabilisce un livello di riferimento per la protezione dei consumatori e aiuta a ridurre le frodi e le violazioni di dati in tutto l'ecosistema di pagamento. Si applica a tutte le organizzazioni che accettano o elaborano carte di pagamento.

La conformità al PCI DSS comporta tre componenti principali:

  1. Gestire i dati delle carte di credito inseriti dai consumatori, ovvero fare in modo che i dati sensibili della carta siano raccolti e trasmessi in sicurezza
  2. Memorizzare i dati in sicurezza, seguendo i 12 requisiti dello standard di protezione dei dati PCI, tra cui crittografia, monitoraggio continuo e test dei sistemi di sicurezza per l'accesso ai dati della carta
  3. Convalidare annualmente la presenza dei controlli di sicurezza richiesti, ad esempio moduli, questionari, scansioni esterne delle vulnerabilità e controlli da parte di terzi (vedi la guida passo passo qui di seguito per una tabella con i quattro livelli di requisiti)

Gestire i dati delle carte

Alcuni modelli di business richiedono la gestione diretta dei dati sensibili delle carte di credito, quando viene accettato un pagamento, altri invece non la richiedono. Alle aziende che gestiscono i dati della carta (ad esempio accettando PAN non tokenizzati su una pagina di pagamento) potrebbe essere richiesto di soddisfare tutti gli oltre 300 controlli di sicurezza PCI DSS. Questo significa che anche se i dati delle carte attraversano i loro server solo per un istante, queste aziende devono acquistare, implementare e gestire software e hardware per la sicurezza.

Invece, le aziende che non si occupano direttamente di trattare i dati sensibili delle carte non sono tenute a farsi carico di queste incombenze. Un servizio fornito da terzi (ad esempio Stripe Elements) accetta e memorizza in sicurezza i dati e permette all'azienda di eliminare procedure complesse, costi e rischi. Inoltre, siccome i dati delle carte non attraversano mai i loro server, queste aziende sono tenute a soddisfare pochi controlli di sicurezza e la maggior parte sono estremamente semplici da gestire, come l'uso di password sicure.

Memorizzare i dati in sicurezza

Se un'organizzazione gestisce e memorizza i dati delle carte di credito è tenuta a definire l'ambiente dei dati di titolari di carta (CDE), ovvero le persone, i processi e le tecnologie che memorizzano, elaborano o trasmettono dati delle carte di credito o qualsiasi sistema ad essi connesso. Dato che al CDE si applicano oltre 300 requisiti di sicurezza PCI, è necessario segmentare adeguatamente l'ambiente di pagamento dal resto dell'attività, in modo da limitare l'ambito interessato dalla convalida PCI DSS. Se un'organizzazione non è in grado di circoscrivere il CDE attraverso una segmentazione granulare, i controlli di sicurezza PCI coinvolgeranno ogni sistema, computer e dispositivo della rete aziendale.

Convalida annuale

Indipendentemente dal metodo con cui accettano i dati delle carte, le organizzazioni devono completare ogni anno un modulo di convalida PCI DSS. Il modo in cui la conformità al PCI DSS viene convalidata dipende da una serie di fattori illustrati di seguito. Ecco tre scenari in cui a un'organizzazione potrebbe essere chiesto di dimostrare la propria conformità alle norme PCI:

  • Gli elaboratori di pagamento potrebbero richiedere la conformità alle norme PCI nell'ambito della reportistica richiesta per i brand di carte di pagamento.
  • I partner dell'attività potrebbero richiedere la conformità alle norme PCI come prerequisito per siglare accordi commerciali.
  • Alle piattaforme (ovvero le attività con una tecnologia che facilita le transazioni online tra diversi gruppi di utenti) i clienti potrebbero richiedere di dimostrare che i loro dati sono gestiti in sicurezza.

Lo standard di sicurezza PCI DSS comprende 12 requisiti principali e oltre 300 sottorequisiti, che rispecchiano le best practice per la sicurezza.

SVILUPPARE E GESTIRE RETI E SISTEMI SICURI

  • 1. Implementare e mantenere aggiornati controlli di sicurezza della rete.
  • 2. Applicare configurazioni sicure a tutti i componenti del sistema.

PROTEGGERE I DATI DEGLI ACCOUNT

  • 3. Proteggere i dati dei titolari di carta memorizzati.
  • 4. Proteggere i dati dei titolari di carta con la crittografia avanzata durante la trasmissione su reti pubbliche aperte.

UTILIZZARE UN PROGRAMMA PER LA GESTIONE DELLE VULNERABILITÀ

  • 5. Proteggere tutti i sistemi e le reti dal software dannoso.
  • 6. Sviluppare e mantenere aggiornati sistemi e software sicuri.

IMPLEMENTARE RIGIDE MISURE DI CONTROLLO DELL'ACCESSO

  • 7. Limitare l'accesso ai componenti del sistema e ai dati dei titolari di carta solo se effettivamente necessario.
  • 8. Identificare gli utenti e autenticare l'accesso ai componenti del sistema.
  • 9. Limitare l'accesso fisico ai dati dei titolari di carta.

MONITORARE ED ESEGUIRE TEST DELLE RETI SINGOLARMENTE

  • 10. Registrare e monitorare tutti gli accessi ai componenti del sistema e ai dati dei titolari di carta.
  • 11. Testare regolarmente la sicurezza dei sistemi e delle reti.

GESTIRE UNA POLITICA DI SICUREZZA DELLE INFORMAZIONI

  • 12. Supportare la sicurezza delle informazioni con politiche e procedure organizzative.

Per aiutare le nuove attività a convalidare la propria conformità alle norme PCI, l'ente PCI SSC ha creato nove diversi moduli o questionari di autovalutazione (SAQ), che sono un sottoinsieme di tutti i requisiti PCI DSS. Ogni attività deve quindi riuscire a individuare il modulo adatto alla propria situazione oppure rivolgersi a un revisore approvato dal PCI SSC per verificare che la propria attività rispetti tutti i requisiti di sicurezza PCI DSS. La situazione è ulteriormente complicata dal fatto che il PCI SSC rivede le norme ogni tre anni e rilascia aggiornamenti incrementali durante l'anno.

Guida passo passo per la conformità alle norme PCI DSS

1. Individuare i requisiti

Il primo passo per ottenere la conformità alle norme PCI è sapere quali requisiti si applicano alla propria organizzazione. Esistono quattro diversi livelli di conformità PCI, che si basano generalmente sul volume di transazioni con carte di credito elaborate nell'arco di 12 mesi dalla tua attività.

Livello di conformità
Applicabile a
Requisiti
Livello 1
  1. Le organizzazioni che ogni anno elaborano oltre 6 milioni di transazioni Visa o Mastercard o più di 2,5 milioni American Express, oppure
  2. Hanno subito una violazione dei dati, oppure
  3. Sono considerate di "Livello 1" da tutte le associazioni di carte di credito (Visa, Mastercard, ecc.)
  1. Rapporto annuale sulla conformità (ROC) svolto da un'azienda qualificata per la valutazione (QSA), detto anche valutazione in loco di livello 1, o da un revisore interno se firmato da un responsabile della società
  2. Scansione di rete trimestrale svolta da un fornitore di scansioni approvato (ASV)
  3. Attestazione di conformità (AOC) per valutazioni in loco. Esistono forme specifiche per venditori e fornitori di servizi
Livello 2
Organizzazioni che elaborano tra 1 e 6 milioni di transazioni all'anno
  1. Questionario di autovalutazione PCI DSS annuale (SAQ); esistono nove diversi questionari e sono illustrati brevemente nella tabella sottostante
  2. Scansione di rete trimestrale svolta da un fornitore di scansioni approvato (ASV)
  3. Attestazione di conformità (AOC); a ognuno dei 9 SAQ corrisponde un modulo AOC diverso
Livello 3
  1. Organizzazioni che elaborano tra 20.000 e 1 milione di transazioni all'anno
  2. Organizzazioni che elaborano meno di 1 milione di transazioni all'anno
Come sopra
Livello 4
  1. Organizzazioni che elaborano meno di 20.000 transazioni all'anno, oppure
  2. Organizzazioni che elaborano meno di 1 milione di transazioni all'anno
Come sopra

Per i Livelli 2-4 esistono diversi tipi di moduli SAQ in base al metodo di pagamento integrato. Di seguito una breve tabella:

SAQ
Descrizione
A
Esercenti con carta non presente (e-commerce o ordini per posta/telefono) che esternalizzano completamente tutte le funzioni dei dati degli account a terzi convalidati e conformi agli standard PCI DSS. Questi esercenti non memorizzano, elaborano né trasmettono i dati degli account nei propri sistemi o sedi.

Non applicabile a canali di pagamento fisici. Non applicabile ai fornitori di servizi.
A-EP
Esercenti di e-commerce che esternalizzano parzialmente l'elaborazione dei pagamenti a terzi convalidati e conformi agli standard PCI DSS e con uno o più siti web che non ricevono direttamente i dati degli account, ma che influiscono sulla sicurezza della transazione di pagamento e/o sull'integrità della pagina che accetta i dati dell'account del cliente. Questi esercenti non memorizzano, elaborano né trasmettono i dati degli account nei propri sistemi o sedi.

Applicabile solo ai canali di e-commerce. Non applicabile ai fornitori di servizi.
B
Venditori che usano solo:
  • Dispositivi di stampa che non memorizzano i dati degli account su alcun sistema informatico e/o
  • Terminali per connessione in uscita indipendenti, che non memorizzano i dati degli account su alcun sistema informatico
Non applicabile ai canali di e-commerce. Non applicabile ai fornitori di servizi.
B-IP
Venditori che elaborano i dati dei titolari di carta solo mediante terminali di pagamento autonomi e approvati PTS con una connessione IP all'elaboratore di pagamenti, senza memorizzare i dati dei titolari di carta su alcun sistema informatico.

Non applicabile ai canali di e-commerce.
C-VT
Esercenti che inseriscono manualmente i dati degli account di pagamento, una singola transazione alla volta, tramite una tastiera, in una soluzione terminale di pagamento virtuale di terzi convalidata e conforme agli standard PCI DSS, con un dispositivo informatico isolato e un browser web connesso in modo sicuro. Non è prevista la memorizzazione elettronica dei dati degli account.

Non applicabile ai canali di e-commerce. Non applicabile ai fornitori di servizi.
C
Esercenti con sistemi di pagamento connessi a Internet, senza memorizzazione elettronica dei dati degli account. Non applicabile ai canali di e-commerce.

Non applicabile ai fornitori di servizi.
P2PE
Esercenti che utilizzano solo una soluzione di crittografia point-to-point (P2PE) convalidata e inserita nell'elenco PCI. Nessun accesso ai dati degli account in chiaro e nessuna archiviazione elettronica dei dati degli account.

Non applicabile ai canali di e-commerce. Non applicabile ai fornitori di servizi.
SPoC*
Esercenti che utilizzano un dispositivo mobile commerciale standard (ad esempio, un telefono o un tablet) con un lettore di carte sicuro incluso nell'elenco di soluzioni SPoC convalidate di PCI SSC. Nessun accesso ai dati degli account in chiaro e nessuna archiviazione elettronica dei dati degli account.

Non applicabile ai canali non presidiati con carta, alle vendite per posta o telefono oppure all'e-commerce. Non applicabile ai fornitori di servizi.
D
SAQ D PER VENDITORI: tutti i venditori che non rientrano nelle descrizioni per i tipi precedenti di modulo SAQ.

SAQ D PER FORNITORI DI SERVIZI: tutti i fornitori di servizi definiti da un marchio di pagamento come idonei per il questionario SAQ.
*Nuovo SAQ per PCI DSS v4.0

2. Mappare il flusso di dati

Prima di poter proteggere i dati sensibili delle carte di credito, devi sapere dove vengono memorizzati e come arrivano ad essere memorizzati proprio lì. Dovrai creare una mappa comprensiva dei sistemi, delle connessioni di rete e delle applicazioni che interagiscono con i dati delle carte di credito all'interno dell'organizzazione. Probabilmente sarà necessario avvalersi dell'aiuto dei team aziendali di supporto IT e della sicurezza.

  • Per prima cosa bisogna individuare le aree dell'attività che sono a contatto diretto con i consumatori e richiedono transazioni di pagamento. Ad esempio, potresti accettare pagamenti attraverso un carrello online, terminali di pagamento in negozio oppure ordini telefonici.
  • È poi necessario individuare con esattezza i vari modi in cui i dati dei titolari di carta sono gestiti all'interno dell'attività. È importante sapere esattamente dove vengono memorizzati e chi ha accesso a questi dati.
  • Infine, è necessario identificare i sistemi interni o le tecnologie sottostanti coinvolte nelle transazioni di pagamento, compresi i sistemi di rete, i data center e gli ambienti cloud.

3. Verificare i controlli e i protocolli di sicurezza

Dopo aver mappato tutti i punti di contatto potenziali per i dati delle carte di credito all'interno dell'organizzazione, dovrai collaborare con i team aziendali di supporto IT e della sicurezza per garantire che le configurazioni e i protocolli di sicurezza corretti siano implementati (vedi sopra l'elenco dei 12 requisiti di sicurezza PCI DSS). Questi protocolli, come TLS (Transport Layer Security), sono progettati per rendere sicura la trasmissione dei dati.

I 12 requisiti di sicurezza PCI DSS derivano dalle procedure più consolidate per la protezione dei dati sensibili per qualsiasi attività. Molti dei requisiti sono gli stessi già previsti da GDPR, HIPAA e altri regolamenti per la tutela della privacy, quindi la tua organizzazione ne potrebbe già soddisfare alcuni.

4. Monitorare e gestire

È importante notare che la convalida della conformità alle norme PCI non è una procedura che si svolge una sola volta all'anno. È necessario un impegno continuo per garantire che l'attività rimanga conforme alle norme PCI anche quando i flussi di dati e i punti di contatto dei clienti cambiano. Alcuni circuiti delle carte di credito potrebbero richiedere dei resoconti trimestrali, annuali o una verifica annuale in loco per convalidare la conformità alle norme PCI. Questo vale soprattutto per le attività che elaborano oltre 6 milioni di transazioni all'anno.

Gestire la conformità alle norme PCI nell'anno (anno dopo anno) spesso richiede la collaborazione tra più dipartimenti e, se non esiste già, potrebbe valere la pena di creare un team interno appositamente dedicato. Ogni azienda è unica, ma un buon punto di partenza per la creazione di un team che si occupi della conformità alle norme PCI dovrebbe prevedere dei rappresentanti dei seguenti settori:

  • Sicurezza: Chief Security Officer (CSO), Chief Information Security Officer (CISO) e i loro team garantiscono che l'organizzazione investa sempre nelle risorse e nelle politiche di protezione dei dati più adeguate.
  • Tecnologia/Pagamenti: Chief Technology Officer (CTO), VP of Payments e i loro team si assicurano che strumenti di base, integrazioni e infrastrutture rimangano conformi quando cambiano i sistemi dell'organizzazione.
  • Finanza: il Chief Financial Officer (CFO) e il suo team garantiscono che si tenga traccia di tutti i flussi di dati riguardanti i pagamenti derivati dai sistemi e dai partner di pagamento.
  • Aspetti legali: questo team può aiutare a destreggiarsi tra i mille cavilli legali della conformità alle norme PCI.

Per maggiori informazioni sul complesso mondo della conformità alle norme PCI, puoi visitare il sito web del PCI SSC, l'ente responsabile degli standard di protezione PCI. Se hai letto solo questa guida e qualche altro documento sul PCI DSS, ti consigliamo di approfondire l'argomento consultando il materiale seguente: approccio prioritario per PCI DSS, istruzioni e linee guida SAQ, domande frequenti sull'uso dei criteri di idoneità SAQ per determinare i requisiti di valutazione in loco e domande frequenti sugli obblighi per gli esercenti che sviluppano app per dispositivi consumer che accettano pagamenti con carta di credito.

In che modo Stripe aiuta le organizzazioni a ottenere e gestire la conformità alle norme PCI

Stripe permette alle aziende che integrano Checkout, Elements, SDK per dispositivi mobili e SDK per Terminal di ridurre in modo significativo il carico di lavoro necessario per la conformità alle norme PCI. Checkout ed Elements usano una pagina di pagamento ospitata per gestire tutti i dati delle carte di pagamento. Pertanto, il titolare della carta inserisce tutti i dati sensibili di pagamento in una pagina di pagamento creata direttamente dai nostri server convalidati PCI DSS. Anche gli SDK per dispositivi mobili e per Terminal di Stripe permettono ai titolari di carte di inviare i dati sensibili di pagamento direttamente ai nostri server convalidati PCI DSS.

Per tutti gli utenti, indipendentemente dal tipo di integrazione, Stripe svolge una funzione di assistenza nell'ambito della conformità alle norme PCI e può aiutare in diversi modi.

  • Analizziamo il metodo di integrazione e consigliamo come ridurre il carico di lavoro necessario per la convalida della conformità.
  • Avvisiamo in anticipo se l'aumento del volume di transazioni richiede un cambiamento delle modalità di convalida della conformità.
  • Per gli esercenti più grandi (livello 1), se è necessario collaborare con un QSA PCI (perché si memorizzano dati delle carte di credito o si ha un flusso di pagamento più complesso), esistono oltre 350 aziende QSA di questo tipo nel mondo e noi possiamo mettere in contatto i nostri clienti con revisori che hanno una conoscenza approfondita delle diverse modalità di integrazione Stripe.

Conclusioni

La valutazione e la convalida della conformità alle norme PCI è una procedura che di solito deve essere realizzata una volta l'anno, tuttavia gestire la conformità alle norme PCI risulta un impegno molto più gravoso e continuo. Infatti, con la crescita di un'azienda crescono anche la sua logica di business e suoi processi e questo implica un cambiamento dei requisiti di conformità che l'azienda deve applicare. Ad esempio un'attività online può decidere di aprire un negozio fisico, di entrare in un nuovo mercato o di creare un centro di assistenza clienti. Se le modifiche che intende adottare coinvolgono i dati delle carte di pagamento, è necessario controllare in anticipo se tali modifiche hanno o meno un impatto sul metodo di convalida della conformità PCI e procedere a una nuova convalida, se necessario.

La conformità alle norme PCI aiuta, ma non è abbastanza.

Aderire alle norme PCI è utile per garantire il livello di sicurezza necessario al proprio business, ma non è abbastanza. Le norme PCI DSS stabiliscono uno standard importante per la gestione e la memorizzazione dei dati dei titolari di carta, ma da sole non garantiscono una protezione sufficiente in ogni ambiente di pagamento. Passare, invece, a un sistema di accettazione di carte di credito più sicuro (come Checkout, Elements e SDK per dispositivi mobili) è un modo molto più efficace per proteggere la tua organizzazione. Inoltre, questi sistemi permettono alle attività agili di ridurre il rischio di potenziali violazioni dei dati e di superare il metodo storico di convalida PCI, un approccio faticoso, dispendioso e che porta via molto tempo. Senza considerare che un metodo di pagamento integrato più sicuro è affidabile tutti i giorni dell'anno.

Tutto pronto per iniziare? Contattaci o crea un account.

Crea un account e inizia ad accettare pagamenti senza la necessità di stipulare contratti o di comunicare le tue coordinate bancarie. In alternativa, contattaci per progettare un pacchetto personalizzato per la tua azienda.