Accedi 

Guida sulla conformità alle norme PCI

Lo Standard di sicurezza dei dati PCI (PCI DSS) stabilisce lo standard minimo per la sicurezza dei dati. Di seguito è riportata una guida su come gestire la conformità alle norme PCI e su quali aiuti può offrire Stripe in questo ambito.

Payments
Payments

Accetta pagamenti online, di persona e in tutto il mondo con una soluzione di pagamento sviluppata per qualsiasi tipo di attività, dalle start-up in espansione alle società internazionali.

Ulteriori informazioni 
  1. Introduzione
  2. Panoramica sullo standard di protezione dei dati PCI (PCI DSS)
    1. Gestire i dati delle carte
    2. Memorizzare i dati in sicurezza
    3. Convalida annuale
  3. Guida passo passo per la conformità alle norme PCI DSS
    1. 1. Individuare i requisiti
    2. 2. Mappare il flusso di dati
    3. 3. Verificare i controlli e i protocolli di sicurezza
    4. 4. Monitorare e gestire
  4. In che modo Stripe aiuta le organizzazioni a ottenere e gestire la conformità alle norme PCI
  5. Ulteriori informazioni su Stripe 

Dal 2005, oltre 11 miliardi di record dei consumatori sono stati compromessi a seguito di oltre 8.500 violazioni di dati. Queste sono le cifre più aggiornate fornite da Privacy Rights Clearinghouse, che fornisce report sulle violazioni di dati e di sicurezza che riguardano i consumatori dal 2005.

Per aumentare la sicurezza dei dati dei consumatori e l'affidabilità dell'ecosistema di pagamento è stato stabilito uno standard minimo per la protezione dei dati. Nel 2006 Visa, Mastercard, American Express, Discover e JCB hanno costituito l'Ente responsabile degli standard di protezione PCI (Payment Card Industry Security Standards Council o PCI SSC) al fine di stabilire e gestire degli standard di sicurezza a cui si devono attenere le aziende che trattano i dati delle carte di credito. Prima della nascita del PCI SSC, ognuna di queste cinque aziende di carte di credito aveva i propri standard di sicurezza, anche se presentavano tutti requisiti e obiettivi simili. Con la fondazione del PCI SSC, queste aziende hanno creato uno standard uniforme di protezione dei dati, il PCI Data Security Standards o PCI DSS, che garantisce un livello di riferimento per la protezione dei consumatori e delle banche nell'era di Internet.

Capire il PCI DSS può rappresentare una sfida

Se il tuo modello di business prevede di trattare carte di credito, potresti dover soddisfare ognuno degli oltre 300 controlli di sicurezza del PCI DSS. Esistono oltre 1.800 pagine di documentazione ufficiale sul PCI DSS pubblicate dall'Ente responsabile degli standard di protezione PCI e oltre 300 pagine di documentazione solo per capire quali moduli usare per convalidare la conformità alle norme PCI. Questi documenti richiedono più di 72 ore solo per essere letti.

Di seguito troverai una guida passo passo per convalidare e mantenere la conformità alle norme PCI, che ti permetterà di alleggerire il carico di lavoro.

La versione 4.0 dello standard PCI DSS entrerà in vigore il 31 marzo 2024

Panoramica sullo standard di protezione dei dati PCI (PCI DSS)

Il PCI DSS è lo standard internazionale per la protezione dei dati e coinvolge tutte quelle entità che si occupano di memorizzare, elaborare o trasmettere i dati dei titolari di carta e/o i dati sensibili di autenticazione. Il PCI DSS stabilisce un livello di riferimento per la protezione dei consumatori e aiuta a ridurre le frodi e le violazioni di dati in tutto l'ecosistema di pagamento. Si applica a tutte le organizzazioni che accettano o elaborano carte di pagamento.

La conformità al PCI DSS comporta tre componenti principali:

  1. Gestire i dati delle carte di credito inseriti dai consumatori, ovvero fare in modo che i dati sensibili della carta siano raccolti e trasmessi in sicurezza
  2. Memorizzare i dati in sicurezza, seguendo i 12 requisiti dello standard di protezione dei dati PCI, tra cui crittografia, monitoraggio continuo e test dei sistemi di sicurezza per l'accesso ai dati della carta
  3. Convalidare annualmente la presenza dei controlli di sicurezza richiesti, ad esempio moduli, questionari, scansioni esterne delle vulnerabilità e controlli da parte di terzi (vedi la guida passo passo qui di seguito per una tabella con i quattro livelli di requisiti)

Gestire i dati delle carte

Alcuni modelli di business richiedono la gestione diretta dei dati sensibili delle carte di credito, quando viene accettato un pagamento, altri invece non la richiedono. Alle aziende che gestiscono i dati della carta (ad esempio accettando PAN non tokenizzati su una pagina di pagamento) potrebbe essere richiesto di soddisfare tutti gli oltre 300 controlli di sicurezza PCI DSS. Questo significa che anche se i dati delle carte attraversano i loro server solo per un istante, queste aziende devono acquistare, implementare e gestire software e hardware per la sicurezza.

Invece, le aziende che non si occupano direttamente di trattare i dati sensibili delle carte non sono tenute a farsi carico di queste incombenze. Un servizio fornito da terzi (ad esempio Stripe Elements) accetta e memorizza in sicurezza i dati e permette all'azienda di eliminare procedure complesse, costi e rischi. Inoltre, siccome i dati delle carte non attraversano mai i loro server, queste aziende sono tenute a soddisfare pochi controlli di sicurezza e la maggior parte sono estremamente semplici da gestire, come l'uso di password sicure.

Memorizzare i dati in sicurezza

Se un'organizzazione gestisce e memorizza i dati delle carte di credito è tenuta a definire l'ambiente dei dati di titolari di carta (CDE), ovvero le persone, i processi e le tecnologie che memorizzano, elaborano o trasmettono dati delle carte di credito o qualsiasi sistema ad essi connesso. Dato che al CDE si applicano oltre 300 requisiti di sicurezza PCI, è necessario segmentare adeguatamente l'ambiente di pagamento dal resto dell'attività, in modo da limitare l'ambito interessato dalla convalida PCI DSS. Se un'organizzazione non è in grado di circoscrivere il CDE attraverso una segmentazione granulare, i controlli di sicurezza PCI coinvolgeranno ogni sistema, computer e dispositivo della rete aziendale.

Convalida annuale

Indipendentemente dal metodo con cui accettano i dati delle carte, le organizzazioni devono completare ogni anno un modulo di convalida PCI DSS. Il modo in cui la conformità al PCI DSS viene convalidata dipende da una serie di fattori illustrati di seguito. Ecco tre scenari in cui a un'organizzazione potrebbe essere chiesto di dimostrare la propria conformità alle norme PCI:

  • Gli elaboratori di pagamento potrebbero richiedere la conformità alle norme PCI nell'ambito della reportistica richiesta per i brand di carte di pagamento.
  • I partner dell'attività potrebbero richiedere la conformità alle norme PCI come prerequisito per siglare accordi commerciali.
  • Alle piattaforme (ovvero le attività con una tecnologia che facilita le transazioni online tra diversi gruppi di utenti) i clienti potrebbero richiedere di dimostrare che i loro dati sono gestiti in sicurezza.

Lo standard di sicurezza PCI DSS comprende 12 requisiti principali e oltre 300 sottorequisiti, che rispecchiano le best practice per la sicurezza.

SVILUPPARE E GESTIRE RETI E SISTEMI SICURI

  • 1. Implementare e mantenere aggiornati controlli di sicurezza della rete.
  • 2. Applicare configurazioni sicure a tutti i componenti del sistema.

PROTEGGERE I DATI DEGLI ACCOUNT

  • 3. Proteggere i dati dei titolari di carta memorizzati.
  • 4. Proteggere i dati dei titolari di carta con la crittografia avanzata durante la trasmissione su reti pubbliche aperte.

UTILIZZARE UN PROGRAMMA PER LA GESTIONE DELLE VULNERABILITÀ

  • 5. Proteggere tutti i sistemi e le reti dal software dannoso.
  • 6. Sviluppare e mantenere aggiornati sistemi e software sicuri.

IMPLEMENTARE RIGIDE MISURE DI CONTROLLO DELL'ACCESSO

  • 7. Limitare l'accesso ai componenti del sistema e ai dati dei titolari di carta solo se effettivamente necessario.
  • 8. Identificare gli utenti e autenticare l'accesso ai componenti del sistema.
  • 9. Limitare l'accesso fisico ai dati dei titolari di carta.

MONITORARE ED ESEGUIRE TEST DELLE RETI SINGOLARMENTE

  • 10. Registrare e monitorare tutti gli accessi ai componenti del sistema e ai dati dei titolari di carta.
  • 11. Testare regolarmente la sicurezza dei sistemi e delle reti.

GESTIRE UNA POLITICA DI SICUREZZA DELLE INFORMAZIONI

  • 12. Supportare la sicurezza delle informazioni con politiche e procedure organizzative.

Per aiutare le nuove attività a convalidare la propria conformità alle norme PCI, l'ente PCI SSC ha creato nove diversi moduli o questionari di autovalutazione (SAQ), che sono un sottoinsieme di tutti i requisiti PCI DSS. Ogni attività deve quindi riuscire a individuare il modulo adatto alla propria situazione oppure rivolgersi a un revisore approvato dal PCI SSC per verificare che la propria attività rispetti tutti i requisiti di sicurezza PCI DSS. La situazione è ulteriormente complicata dal fatto che il PCI SSC rivede le norme ogni tre anni e rilascia aggiornamenti incrementali durante l'anno.

Guida passo passo per la conformità alle norme PCI DSS

1. Individuare i requisiti

Il primo passo per ottenere la conformità alle norme PCI è sapere quali requisiti si applicano alla propria organizzazione. Esistono quattro diversi livelli di conformità PCI, che si basano generalmente sul volume di transazioni con carte di credito elaborate nell'arco di 12 mesi dalla tua attività.

Livello di conformità
Applicabile a
Requisiti
Livello 1
  • Aziende che elaborano oltre 6 milioni di transazioni online con carte Visa o Mastercard oppure oltre 2,5 milioni con carte American Express oppure
  • Hanno subito una violazione dati oppure
  • Sono considerati appartenenti al Livello 1 da qualsiasi circuito di carte di credito (Visa, Mastercarcard, ecc.)
  • Attestato di conformità (AOC) o report annuale sulla conformità (ROC) forniti da un Qualified Security Assessor (QSA)
  • Scansione di rete trimestrale svolta da un fornitore di scansioni approvato (ASV)
Livello 2
  • Aziende che elaborano da 1 a 6 milioni di transazioni online all'anno
  • Questionario di autovalutazione (SAQ) o attestato di conformità (AOC) o report sulla conformità (ROC)
  • La documentazione SAQ A, SAQ A-EP e SAQ D deve essere sottoscritta da un Qualified Security Assessor (QSA) PCI o da un Internal Security Assessor (ISA) certificato PCI.1
  • Scansione di rete trimestrale svolta da un fornitore di scansioni approvato (ASV)
Livello 3
  • Aziende che elaborano da 20.000 a 1 milione di transazioni online all'anno
  • Aziende che elaborano meno di 1 milione di transazioni totali all'anno
  • Gli utenti di livello 3 e 4 vengono automaticamente iscritti al nostro programma di gestione dei rischi, che offre un'esperienza personalizzata e semplificata in base a vari fattori, come il tipo di integrazione. Questo potrebbe comportare il completamento di uno o più SAQ (Self-Assessment Questionnaire) PCI DSS.
  • Gli utenti di livello 3 devono completare anche scansioni trimestrali delle reti eseguite da fornitori di scansioni approvati (ASV).
Livello 4
  • Aziende che elaborano meno di 20.000 transazioni online all'anno oppure
  • Aziende che elaborano fino a 1 milione di transazioni totali all'anno
  • Gli utenti di livello 4 devono completare anche scansioni trimestrali delle reti eseguite da fornitori di scansioni approvati (ASV).
1 Gli esercenti di livello 2 che completano SAQ A, SAQ A-EP o SAQ D devono rivolgersi a un Qualified Security Assessor (QSA) per la convalida della conformità

Per i Livelli 2-4 esistono diversi tipi di moduli SAQ in base al metodo di pagamento integrato. Di seguito una breve tabella:

Integrazione
Requisito
Suggerimento
Checkout o Elements
SAQ A
Checkout e Stripe.js ed Elements ospitano tutti gli input di raccolta dei dati delle carte all'interno di un iframe gestito dal dominio di Stripe e non dal tuo: le informazioni delle carte dei clienti, quindi, non arrivano mai ai tuoi server.
Connect
SAQ A Se usi soltanto una piattaforma Connect (ad esempio, Squarespace) per acquisire i dati delle carte, possiamo accertare se la piattaforma fornisce la necessaria documentazione PCI.
SDK mobile
SAQ A

Lo sviluppo e il controllo delle modifiche degli SDK per dispositivi mobili di Stripe sono conformi agli standard PCI DSS (requisiti 6.3-6.5) e vengono implementati attraverso i nostri sistemi con convalida PCI. Quando utilizzi solo i componenti di interfaccia dei nostri SDK ufficiali per iOS o Android o crei un modulo di pagamento con Elements in una WebView, i numeri delle carte passano direttamente dai tuoi clienti a Stripe. In questo modo, gli adempimenti in termini di conformità PCI sono semplificati.

Se procedi diversamente, ad esempio scrivendo codice proprietario per gestire i dati delle carte, è possibile che tu debba soddisfare altri requisiti PCI DSS (6.3 - 6.5) e che tu non possa usare un SAQ A. In questo caso, ti consigliamo di rivolgerti a un Qualified Security Assessor PCI per determinare il modo migliore per convalidare la tua conformità secondo le linee guida attualmente vigenti del PCI Security Standards Council.

Se la tua applicazione impone ai tuoi clienti di inserire le informazioni sui propri dispositivi, allora hai l'idoneità per il SAQ A. Se l'applicazione accetta i dati delle carte di più clienti sul tuo dispositivo (ad esempio, un'app POS), rivolgiti a un Qualified Security Assessor PCI per scoprire il modo migliore per convalidare la conformità alle norme PCI.

Stripe.js v2
SAQ A-EP

Se utilizzi Stripe.js v2 per inviare i dati delle carte inseriti in un modulo ospitato sul tuo sito, devi completare il SAQ A-EP ogni anno per dimostrare la conformità PCI della tua attività.

In alternativa, sia Checkout sia Elements ti consentono la flessibilità e la personalizzazione di un modulo in self-hosting, soddisfacendo allo stesso tempo l'idoneità PCI per il SAQ A.

Terminal
SAQ C

Se raccogli dati delle carte esclusivamente tramite Stripe Terminal, puoi eseguire la convalida con SAQ C.

Se usi altre integrazioni con Stripe utilizzando altri metodi inclusi in questa tabella, devi provare la loro conformità separatamente, secondo quanto descritto.
Dashboard
SAQ C-VT

I pagamenti manuali con carta tramite la Dashboard sono possibili solo per circostanze eccezionali, non per l'elaborazione standard dei pagamenti. Fornisci un modulo di pagamento adeguato o un'applicazione per dispositivi mobili così che i clienti possano inserire i dati della propria carta.

Non possiamo verificare che i dati delle carte inseriti manualmente siano al sicuro all'esterno della rete Stripe, pertanto devi proteggere i dati delle carte ai sensi dei requisiti di conformità PCI e completare il SAQ C-VT ogni anno per dimostrare che la tua attività dispone della conformità PCI.

API diretta
SAQ D

Quando invii i dati delle carte direttamente all'API di Stripe, l'integrazione gestisce direttamente quei dati ed è necessario che dimostri ogni anno la tua conformità PCI utilizzando SAQ D il più impegnativo dei SAQ. Per ridurre il carico:

Inoltre, Radar, il nostro strumento di prevenzione delle frodi che include la valutazione dei rischi e le regole, è disponibile solo quando si utilizza uno dei nostri metodi di tokenizzazione lato client.

2. Mappare il flusso di dati

Prima di poter proteggere i dati sensibili delle carte di credito, devi sapere dove vengono memorizzati e come arrivano ad essere memorizzati proprio lì. Dovrai creare una mappa comprensiva dei sistemi, delle connessioni di rete e delle applicazioni che interagiscono con i dati delle carte di credito all'interno dell'organizzazione. Probabilmente sarà necessario avvalersi dell'aiuto dei team aziendali di supporto IT e della sicurezza.

  • Per prima cosa bisogna individuare le aree dell'attività che sono a contatto diretto con i consumatori e richiedono transazioni di pagamento. Ad esempio, potresti accettare pagamenti attraverso un carrello online, terminali di pagamento in negozio oppure ordini telefonici.
  • È poi necessario individuare con esattezza i vari modi in cui i dati dei titolari di carta sono gestiti all'interno dell'attività. È importante sapere esattamente dove vengono memorizzati e chi ha accesso a questi dati.
  • Infine, è necessario identificare i sistemi interni o le tecnologie sottostanti coinvolte nelle transazioni di pagamento, compresi i sistemi di rete, i data center e gli ambienti cloud.

3. Verificare i controlli e i protocolli di sicurezza

Dopo aver mappato tutti i punti di contatto potenziali per i dati delle carte di credito all'interno dell'organizzazione, dovrai collaborare con i team aziendali di supporto IT e della sicurezza per garantire che le configurazioni e i protocolli di sicurezza corretti siano implementati (vedi sopra l'elenco dei 12 requisiti di sicurezza PCI DSS). Questi protocolli, come TLS (Transport Layer Security), sono progettati per rendere sicura la trasmissione dei dati.

I 12 requisiti di sicurezza PCI DSS derivano dalle procedure più consolidate per la protezione dei dati sensibili per qualsiasi attività. Molti dei requisiti sono gli stessi già previsti da GDPR, HIPAA e altri regolamenti per la tutela della privacy, quindi la tua organizzazione ne potrebbe già soddisfare alcuni.

4. Monitorare e gestire

È importante notare che la convalida della conformità alle norme PCI non è una procedura che si svolge una sola volta all'anno. È necessario un impegno continuo per garantire che l'attività rimanga conforme alle norme PCI anche quando i flussi di dati e i punti di contatto dei clienti cambiano. Alcuni circuiti delle carte di credito potrebbero richiedere dei resoconti trimestrali, annuali o una verifica annuale in loco per convalidare la conformità alle norme PCI. Questo vale soprattutto per le attività che elaborano oltre 6 milioni di transazioni all'anno.

Gestire la conformità alle norme PCI nell'anno (anno dopo anno) spesso richiede la collaborazione tra più dipartimenti e, se non esiste già, potrebbe valere la pena di creare un team interno appositamente dedicato. Ogni azienda è unica, ma un buon punto di partenza per la creazione di un team che si occupi della conformità alle norme PCI dovrebbe prevedere dei rappresentanti dei seguenti settori:

  • Sicurezza: Chief Security Officer (CSO), Chief Information Security Officer (CISO) e i loro team garantiscono che l'organizzazione investa sempre nelle risorse e nelle politiche di protezione dei dati più adeguate.
  • Tecnologia/Pagamenti: Chief Technology Officer (CTO), VP of Payments e i loro team si assicurano che strumenti di base, integrazioni e infrastrutture rimangano conformi quando cambiano i sistemi dell'organizzazione.
  • Finanza: il Chief Financial Officer (CFO) e il suo team garantiscono che si tenga traccia di tutti i flussi di dati riguardanti i pagamenti derivati dai sistemi e dai partner di pagamento.
  • Aspetti legali: questo team può aiutare a destreggiarsi tra i mille cavilli legali della conformità alle norme PCI.

Per maggiori informazioni sul complesso mondo della conformità alle norme PCI, puoi visitare il sito web del PCI SSC, l'ente responsabile degli standard di protezione PCI. Se hai letto solo questa guida e qualche altro documento sul PCI DSS, ti consigliamo di approfondire l'argomento consultando il materiale seguente: approccio prioritario per PCI DSS, istruzioni e linee guida SAQ, domande frequenti sull'uso dei criteri di idoneità SAQ per determinare i requisiti di valutazione in loco e domande frequenti sugli obblighi per gli esercenti che sviluppano app per dispositivi consumer che accettano pagamenti con carta di credito.

In che modo Stripe aiuta le organizzazioni a ottenere e gestire la conformità alle norme PCI

Stripe permette alle aziende che integrano Checkout, Elements, SDK per dispositivi mobili e SDK per Terminal di ridurre in modo significativo il carico di lavoro necessario per la conformità alle norme PCI. Checkout ed Elements usano una pagina di pagamento ospitata per gestire tutti i dati delle carte di pagamento. Pertanto, il titolare della carta inserisce tutti i dati sensibili di pagamento in una pagina di pagamento creata direttamente dai nostri server convalidati PCI DSS. Anche gli SDK per dispositivi mobili e per Terminal di Stripe permettono ai titolari di carte di inviare i dati sensibili di pagamento direttamente ai nostri server convalidati PCI DSS.

Per tutti gli utenti, indipendentemente dal tipo di integrazione, Stripe svolge una funzione di assistenza nell'ambito della conformità alle norme PCI e può aiutare in diversi modi.

  • Analizziamo il metodo di integrazione e consigliamo come ridurre il carico di lavoro necessario per la convalida della conformità.
  • Avvisiamo in anticipo se l'aumento del volume di transazioni richiede un cambiamento delle modalità di convalida della conformità.
  • Per gli esercenti più grandi (livello 1), se è necessario collaborare con un QSA PCI (perché si memorizzano dati delle carte di credito o si ha un flusso di pagamento più complesso), esistono oltre 350 aziende QSA di questo tipo nel mondo e noi possiamo mettere in contatto i nostri clienti con revisori che hanno una conoscenza approfondita delle diverse modalità di integrazione Stripe.

Tutto pronto per iniziare?

Crea un account e inizia ad accettare pagamenti senza la necessità di stipulare contratti o di comunicare le tue coordinate bancarie. In alternativa, contattaci per progettare un pacchetto personalizzato per la tua attività.
Payments

Payments

Accetta pagamenti online e di persona in tutto il mondo con una soluzione di pagamento sviluppata per qualsiasi tipo di attività.

Documentazione di Payments

Trova una guida per integrare le API per i pagamenti di Stripe.