Inizia ora  Contattaci 
Inizia ora  Contattaci 

Elenco di controllo PCI DSS per le attività: come soddisfare gli standard di conformità

Payments
Payments

Accetta pagamenti online, di persona e in tutto il mondo con una soluzione di pagamento sviluppata per qualsiasi tipo di attività, dalle start-up in espansione alle società internazionali.

Ulteriori informazioni 
  1. Introduzione
  2. Che cos’è la conformità alle norme PCI DSS
  3. Cosa include l’elenco di controllo per la conformità PCI DSS
    1. 1. Installare e gestire i firewall
    2. 2. Evitare password e impostazioni predefinite
    3. 3. Proteggere i dati memorizzati dei titolari di carte.
    4. 4. Crittografare i dati in transito
    5. 5. Difendersi dal malware
    6. 6. Sistemi di patch e applicazioni
    7. 7. Limitare l’accesso ai dati secondo il ruolo
    8. 8. Autenticare gli utenti in modo univoco
    9. 9. Controllare l’accesso fisico
    10. 10. Tracciare e monitorare l’accesso
    11. 11. Verificare regolarmente la sicurezza
    12. 12. Gestire le politiche di sicurezza e formare il personale
  4. Come si monitorano e si verificano le reti per verificarne la conformità PCI
    1. Registrazione e monitoraggio
    2. Scansione delle vulnerabilità
    3. Test di penetrazione
    4. Convalida continua
  5. In che modo le aziende possono mantenere un ambiente sicuro per i dati dei titolari delle carte
    1. Definisci e riduci al minimo l’ambito
    2. Non conservare ciò che non serve
    3. Tokenizzazione e crittografia
    4. Segmenta la tua rete
    5. Limita e monitora l’accesso
  6. Quali passaggi dovresti adottare per prepararti alla conformità PCI DSS
    1. Ambito di applicazione
    2. Inventario delle risorse
    3. Analisi delle lacune
    4. Percorso di convalida
    5. Cronologia e ruoli
  7. Come mantenere la conformità PCI DSS nel tempo
    1. Pianifica dei controlli ricorrenti
    2. Tieni corsi di formazione ripetuti
    3. Tieni d’occhio di venditori
    4. Sii pronto a rispondere
  8. In che modo Stripe Payments può essere d’aiuto
  9. Inizia con Stripe 

Proteggere i dati di pagamento dei clienti significa creare fiducia e mantenere la tua attività funzionante in modo efficiente. Nel 2024 il costo medio globale delle violazioni ha raggiunto i 4,88 milioni di dollari, quindi è importante mantenere elevati gli standard.

L'elenco di controllo PCI DSS (Payment Card Industry Data Security Standard) trasforma uno standard intimidatorio in passaggi chiari che qualsiasi attività può seguire per salvaguardare le informazioni dei titolari delle carte. Di seguito spiegheremo cosa richiede l'elenco di controllo e come mantenere la conformità nel tempo.

Contenuto dell'articolo

  • Che cos'è la conformità alle norme PCI DSS
  • Cosa include l'elenco di controllo per la conformità PCI DSS
  • Come si monitorano e si verificano le reti per verificarne la conformità PCI
  • In che modo le aziende possono mantenere un ambiente sicuro per i dati dei titolari delle carte
  • Quali passaggi dovresti adottare per prepararti alla conformità PCI DSS
  • Come mantenere la conformità PCI DSS nel tempo
  • In che modo Stripe Payments può essere d'aiuto

Che cos'è la conformità alle norme PCI DSS

PCI DSS è il manuale delle regole per la protezione delle informazioni sulle carte di debito e di credito. È stato creato nel 2004 da American Express, Discover, JCB, Mastercard e Visa per ridurre al minimo le frodi e le violazioni. Oggi è lo standard di sicurezza di base per qualsiasi attività che archivia, elabora o trasmette i dati delle carte.

La conformità PCI DSS è obbligatoria. Se la tua attività accetta carte di credito o di debito, rientra in PCI DSS, sia che si tratti di un negozio con un'unica sede, di un negozio in rapida crescita, di un'azienda Software-as-a-Service (SaaS) o di un'impresa globale. Devono conformarsi anche i fornitori di servizi che trasferiscono o memorizzano i dati delle carte per conto di altri. I passi esatti per la segnalazione variano a seconda del volume delle transazioni, ma i requisiti di sicurezza si applicano a tutti i livelli.

PCI DSS non è una legge, ma viene applicato nei contratti con le banche e gli elaboratori di pagamento. In caso di mancata conformità, potresti incorrere in multe, controlli onerosi o cause legali, o addirittura perdere l'autorizzazione a elaborare i pagamenti con carta.

Cosa include l'elenco di controllo per la conformità PCI DSS

PCI DSS si basa su 12 requisiti.

1. Installare e gestire i firewall

La prima linea di difesa è un firewall ben configurato che blocca il traffico indesiderato. Rivedi regolarmente le regole ed elimina tutto ciò che non è necessario. Le regole personalizzate sono importanti.

2. Evitare password e impostazioni predefinite

Spesso i dispositivi e i software vengono forniti con impostazioni predefinite ampiamente note. Modificali immediatamente, disabilita gli account inutilizzati e chiudi i servizi che non ti servono.

3. Proteggere i dati memorizzati dei titolari di carte.

Se non ti serve memorizzare i dati delle carte, non farlo. Se necessario, crittografalo con algoritmi forti, mascherali o troncali dove possibile e gestisci in modo sicuro le chiavi di crittografia Elimina i dati quando non sono più necessari.

4. Crittografare i dati in transito

I dettagli delle carte che si spostano attraverso reti aperte devono essere sempre crittografati. Utilizza protocolli moderni come Transport Layer Security (TLS) 1.2 o versioni successive. I protocolli meno recenti, come Secure Sockets Layer (SSL), sono meno efficaci. Non inviare mai i numeri di carta tramite e-mail o canali non crittografati.

5. Difendersi dal malware

Ogni sistema che potrebbe essere colpito da software dannoso necessita di una protezione antimalware che sia mantenuta aggiornata e configurata in modo da essere eseguita automaticamente. PCI DSS v4.0 va oltre incoraggiando strumenti di rilevamento avanzati, non solo la tradizionale protezione antivirus.

6. Sistemi di patch e applicazioni

Le vulnerabilità sono il punto di ingresso di un hacker. Mantieni un inventario aggiornato delle risorse, iscriviti ai bollettini sulla sicurezza e applica rapidamente le patch. Segui le procedure di codifica sicura se crei applicazioni personalizzate.

7. Limitare l'accesso ai dati secondo il ruolo

Applica il principio del privilegio minimo. Solo i dipendenti che hanno veramente bisogno di accedere ai dati della carta dovrebbero poterlo fare. Utilizza controlli basati sui ruoli, revoca prontamente l'accesso quando i ruoli cambiano e considera l'accesso just-in-time per le attività sensibili.

8. Autenticare gli utenti in modo univoco

Ogni individuo riceve un ID univoco. Non consentire accessi condivisi. Richiedi password complesse e autenticazione a più fattori per tutti gli accessi ai sistemi nell'Ambiente dei dati dei titolari di carta (CDE). Questo è un requisito irrinunciabile per PCI DSS v4.0.

9. Controllare l'accesso fisico

Proteggi i luoghi in cui sono fisicamente presenti i dati delle carte: sale server, terminali di pagamento, registri cartacei e backup. Usa badge identificativi, serrature e telecamere di sorveglianza. Distruggi i record che non ti servono più.

10. Tracciare e monitorare l'accesso

Attiva la registrazione dettagliata per i sistemi che accedono ai dati dei titolari di carte. Registra chi ha fatto cosa e quando. Archivia almeno un anno di registrazioni (gli ultimi tre mesi dovrebbero essere facilmente accessibili) e controllale regolarmente per verificare la presenza di eventuali elementi insoliti.

11. Verificare regolarmente la sicurezza

Esegui scansioni trimestrali delle vulnerabilità. Se hai un'attività online, scegli un fornitore di scansione approvato, qualificato dal PCI Security Standards Council. Esegui o test di penetrazione almeno una volta all'anno. Esegui una scansione interna dopo eventuali modifiche importanti. I test consentono di rilevare i problemi prima che gli aggressori possano utilizzarli per ottenere l'accesso.

12. Gestire le politiche di sicurezza e formare il personale

La conformità dipende tanto dalle persone quanto dai sistemi. Stabilisci una politica di sicurezza formale, aggiornala annualmente e istruisci regolarmente il personale in modo che tutti sappiano come proteggere i dati di pagamento.

Pensa all'elenco di controllo per la conformità PCI DSS come a un manuale operativo. Configura, crittografa, limita, monitora, testa e istruisci, quindi ripeti il ciclo man mano che cresce la tua attività.

Come si monitorano e si verificano le reti per verificarne la conformità PCI

Lo standard PCI DSS richiede inoltre di dimostrare che i tuoi controlli funzionano ogni giorno. Questo comporta monitoraggio e test.

Registrazione e monitoraggio

I sistemi che accedono ai dati dei titolari delle carte devono generare registri dettagliati: chi ha effettuato l'accesso a cosa, quando e quali azioni sono state intraprese. È necessario archiviare almeno un anno di registrazioni, con gli ultimi tre mesi immediatamente disponibili. È inoltre necessario esaminare le registrazioni. Molte attività utilizzano avvisi automatici per segnalare le attività sospette, ad esempio un account di amministratore che accede in orari strani.

Scansione delle vulnerabilità

Lo standard PCI DSS impone scansioni trimestrali delle vulnerabilità dei sistemi connessi a Internet, eseguite da un fornitore di scansione approvato. Dovrebbero essere programmate anche le scansioni interne, soprattutto dopo avere apportato modifiche importanti al sistema. Queste scansioni cercano punti deboli noti come software obsoleti e firewall configurati in modo errato, che gli aggressori potrebbero sfruttare.

Test di penetrazione

Effettua i test di penetrazione almeno una volta all'anno. Si tratta di attacchi simulati effettuati da professionisti che ragionano come gli hacker. A differenza delle scansioni automatizzate, i test di penetrazione esplorano i modo in cui diverse vulnerabilità possono creare rischi reali. Ti aiutano a vedere il tuo ambiente come farebbe un utente malintenzionato.

Convalida continua

La conformità PCI significa attenersi a un ciclo continuo: configurazione dei sistemi, scansione, risoluzione dei problemi e ripetizione dei test. Il punto è individuare i problemi prima che diventino violazioni e dimostrare che i controlli reggono quando si effettuano degli esami.

In che modo le aziende possono mantenere un ambiente sicuro per i dati dei titolari delle carte

Proteggere i dati dei titolari delle carte significa creare un ambiente in cui i rischi sono ridotti a ogni livello. PCI DSS lo chiama CDE e mantenerlo sicuro significa prestare attenzione all'ambito, all'archiviazione, all'accesso e all'architettura.

Ecco come proteggere il tuo CDE.

Definisci e riduci al minimo l'ambito

Innanzitutto, scopri esattamente dove fluiscono i dati delle carte nei tuoi sistemi. Delinea le applicazioni, i database, i terminali e le reti che li toccano o li trasmettono. Quindi riduci l'ingombro: se un sistema non ha bisogno di gestire i dati delle carte, eliminalo dall'ambito.

Non conservare ciò che non serve

Ogni dato memorizzato delle carte è una responsabilità. Conserva solo ciò di cui hai bisogno e imposta processi automatizzati per eliminare i vecchi dati. Utilizza se possibile il mascheramento e il troncamento, in modo che, anche se i dati emergono, siano inutilizzabili da parte degli aggressori.

Tokenizzazione e crittografia

Quando devi gestire i numeri delle carte, sostituiscili con token che non hanno alcun valore al di fuori dei sistemi. Crittografa i dati dei titolari delle carte quando sono fermi e in transito e gestisci le chiavi di crittografia con lo stesso rigore che applicheresti alla protezione dei dati: limita l'accesso, ruota regolarmente le chiavi e registrane l'utilizzo.

Segmenta la tua rete

Mantieni il CDE isolato dal resto dei sistemi. La segmentazione della rete garantisce che, se un'area viene compromessa, gli aggressori non ottengano un percorso diretto ai dati di pagamento.

Limita e monitora l'accesso

Applica controlli di accesso rigorosi: autorizzazioni basate sui ruoli, autenticazione a più fattori e una registrazione per ogni tentativo di accesso. Rivedi spesso i privilegi e rimuovi prontamente l'accesso quando non è più necessario.

Un CDE protetto richiede revisione, aggiornamenti e test regolari. Restringendo l'ambito, crittografando in modo efficace e limitando l'esposizione, è possibile creare un ambiente resiliente agli errori e agli attacchi.

Quali passaggi dovresti adottare per prepararti alla conformità PCI DSS

Prima di compilare un questionario o programmare un audit, è necessario un quadro chiaro del modo in cui la tua attività gestisce i dati delle carte e dove risiedono i rischi. Questo trasforma la conformità PCI DSS da standard astratto a piano progettuale concreto con ambito, prove e responsabilità definiti fin dall'inizio.

Ecco come prepararsi.

Ambito di applicazione

Identifica ogni sistema, applicazione e rete che accede ai dati dei titolari di carte. Crea un diagramma di flusso dei dati che mostri esattamente come le informazioni della carta si muovono nell'ambiente, dal punto di ingresso (come un sito web, un terminale, un'app) al punto in cui vengono elaborati o memorizzati. Tutto ciò che interagisce con i dati delle carte rientra nell'ambito dell'applicazione.

Inventario delle risorse

Elenca tutti i fornitori di hardware, software e servizi coinvolti nei pagamenti. Questo ti aiuta a capire cosa deve essere protetto e dove entrano in gioco le responsabilità delle terze parti.

Analisi delle lacune

Confronta i tuoi controlli attuali con i 12 requisiti PCI DSS. Un'analisi delle lacune rivela le politiche mancanti, le configurazioni obsolete o i sistemi privi di patch, e fornisce un percorso prioritario per la correzione.

Percorso di convalida

In genere, le attività eseguono la convalida attraverso un questionario di autovalutazione. Tuttavia, le grandi attività hanno spesso bisogno di un rapporto formale sulla conformità da parte di un esaminatore qualificato della sicurezza. Il percorso che segui dipende dal volume delle transazioni e dal modo in cui elabori i pagamenti.

Cronologia e ruoli

Riserva del tempo per la correzione, la documentazione, i test e la formazione. Assegna responsabilità chiare in modo che i compiti non passino inosservati.

Come mantenere la conformità PCI DSS nel tempo

La conformità è un ciclo ricorrente. La conformità PCI a lungo termine significa integrare la sicurezza nelle operazioni quotidiane.

Ecco cosa comporta.

Pianifica dei controlli ricorrenti

Pianifica scansioni trimestrali delle vulnerabilità, test di penetrazione annuali, revisioni delle policy e valutazioni dei rischi. Documenta ogni attività in modo da avere una traccia cartacea per i revisori e per le tue responsabilità.

Tieni corsi di formazione ripetuti

Le persone fanno parte del sistema. Organizza regolarmente delle sessioni di sensibilizzazione sulla sicurezza in modo che i dipendenti sappiano come individuare i ladri di numeri di carte, i tentativi di phishing e i segnali di manomissione. Aggiorna la formazione quando cambiano gli standard o i tuoi processi.

Tieni d'occhio di venditori

I fornitori terzi fanno spesso parte del tuo flusso di pagamento. Esamina regolarmente lo stato della loro conformità e assicurati che i contratti rispecchino gli obblighi di sicurezza.

Sii pronto a rispondere

Mantieni un piano di risposta in caso di incidenti: sappi chi chiamare, come isolare i sistemi e come avvisare le parti interessate. Se qualcosa va storto, devi essere in grado di agire rapidamente.

In che modo Stripe Payments può essere d'aiuto

Stripe Payments offre una soluzione di pagamento unificata e globale che aiuta ogni attività, dalle start-up in fase di espansione alle multinazionali, ad accettare pagamenti online, di persona e in tutto il mondo.

Stripe Payments può aiutarti a:

  • Ottimizzare la tua esperienza di procedura di pagamento: crea senza problemi un'esperienza per il cliente e risparmia migliaia di ore di progettazione con le interfacce utente predefinite, per accedere a oltre 125 metodi di pagamento e a Link, il wallet di Stripe.

  • Espanderti più rapidamente in nuovi mercati: raggiungi clienti in tutto il mondo e riduci la complessità e i costi della gestione multivaluta con opzioni di pagamento transfrontaliere, disponibili in 195 Paesi e in oltre 135 valute.

  • *Unificare i pagamenti di persona e online: *crea un'esperienza di commercio unificato su canali online e di persona per personalizzare le interazioni, premiare la fedeltà e aumentare i ricavi.

  • Migliorare le prestazioni dei pagamenti: aumenta i ricavi con una gamma di strumenti di pagamento personalizzabili e facili da configurare, tra cui la protezione contro le frodi no-code e funzionalità avanzate per migliorare i tassi di autorizzazione.

  • Stare al passo con la rapidità operativa grazie a una piattaforma flessibile e affidabile per la crescita: sfrutta una piattaforma progettata per crescere insieme a te, con un'operatività del 99,999% e un'affidabilità leader nel settore.

Scopri di più come Stripe Payments può supportare i tuoi pagamenti online e di persona, oppure inizia oggi stesso.

I contenuti di questo articolo hanno uno scopo puramente informativo e formativo e non devono essere intesi come consulenza legale o fiscale. Stripe non garantisce l'accuratezza, la completezza, l'adeguatezza o l'attualità delle informazioni contenute nell'articolo. Per assistenza sulla tua situazione specifica, rivolgiti a un avvocato o a un commercialista competente e abilitato all'esercizio della professione nella tua giurisdizione.

Altri articoli

  • Something went wrong. Please try again or contact support.

Tutto pronto per iniziare?

Crea un account e inizia ad accettare pagamenti senza la necessità di stipulare contratti o di comunicare le tue coordinate bancarie. In alternativa, contattaci per progettare un pacchetto personalizzato per la tua attività.
Payments

Payments

Accetta pagamenti online e di persona in tutto il mondo con una soluzione di pagamento sviluppata per qualsiasi tipo di attività.

Documentazione di Payments

Trova una guida per integrare le API per i pagamenti di Stripe.