Una guida di conformità alle norme PCI

Lo standard di protezione dei dati PCI (PCI DSS, Payment Card Industry Data Security Standards) definisce i requisiti minimi di sicurezza dei dati. Di seguito è riportata una guida su come gestire la conformità alle norme PCI e su quali aiuti può offrire Stripe in questo ambito.

Introduzione

Dal 2005, oltre 11 miliardi di dati dei clienti sono stati compromessi da più di 8.500 violazioni. Queste sono le ultime cifre fornite da The Privacy Rights Clearinghouse riguardo alle violazioni di dati e della sicurezza che hanno avuto un impatto sui consumatori a partire dal 2005.

Per aumentare la sicurezza dei dati dei consumatori e l’affidabilità dell’ecosistema di pagamento è stato stabilito uno standard minimo per la protezione dei dati. Nel 2006 Visa, Mastercard, American Express, Discover e JCB hanno costituito l’Ente responsabile degli standard di protezione PCI (Payment Card Industry Security Standards Council o PCI SSC) al fine di stabilire e gestire degli standard di sicurezza a cui si devono attenere le aziende che trattano i dati delle carte di credito. Prima della nascita del PCI SSC, ognuna di queste cinque aziende di carte di credito aveva i propri standard di sicurezza, anche se presentavano tutti requisiti e obiettivi simili. Con la fondazione del PCI SSC, queste aziende hanno creato uno standard uniforme di protezione dei dati, il PCI Data Security Standards o PCI DSS, che garantisce un livello di riferimento per la protezione dei consumatori e delle banche nell’era di Internet.

Capire il PCI DSS può rappresentare una sfida

Se il tuo modello aziendale prevede di trattare carte di credito, potresti dover soddisfare ognuno degli oltre 300 controlli di sicurezza del PCI DSS. Esistono oltre 1.800 pagine di documentazione ufficiale sul PCI DSS pubblicate dall’Ente responsabile degli standard di protezione PCI e oltre 300 pagine di documentazione solo per capire quale modello/i usare per convalidare la conformità alle norme PCI. Questi documenti richiedono più di 72 ore solo per essere letti.

Di seguito troverai una guida passo passo per convalidare e mantenere la conformità alle norme PCI, che ti permetterà di alleggerire il carico di lavoro.

Panoramica sullo Standard di protezione dei dati PCI (PCI DSS)

Il PCI DSS è lo standard internazionale per la protezione dei dati e coinvolge tutte quelle entità che si occupano di memorizzare, elaborare o trasmettere i dati dei titolari di carta e/o i dati sensibili di autenticazione. Il PCI DSS stabilisce un livello di riferimento per la protezione dei consumatori e aiuta a ridurre le frodi e le violazioni di dati in tutto l’ecosistema di pagamento. Si applica a tutte le organizzazioni che accettano o elaborano carte di pagamento.

La conformità alle norme PCI DSS comporta 3 aspetti principali:

  1. Gestire i dati delle carte di credito inseriti dai consumatori, ovvero fare in modo che i dati sensibili della carta siano raccolti e trasmessi in sicurezza
  2. Memorizzare i dati in sicurezza, seguendo i 12 requisiti dello standard di protezione dei dati PCI, tra cui cifratura, monitoraggio continuo e test dei sistemi di protezione
  3. Convalidare annualmente la propria conformità ai requisiti PCI; questo può avvenire tramite moduli, questionari, scansioni esterne delle vulnerabilità e controlli da parte di terzi (vedere la guida passo passo di seguito per una tabella con i quattro livelli di requisiti)

Gestire i dati delle carte

Alcuni modelli aziendali richiedono la gestione diretta dei dati sensibili delle carte di credito, quando viene accettato un pagamento, altri invece non la richiedono. Alle aziende che gestiscono i dati della carta (ad esempio accettando PAN senza token su una pagina di pagamento) potrebbe essere richiesto di soddisfare tutti gli oltre 300 controlli di sicurezza PCI DSS. Questo significa che anche se i dati delle carte attraversano i loro server solo per un istante, queste aziende devono acquistare, implementare e gestire software e hardware per la sicurezza.

Invece, le aziende che non si occupano direttamente di trattare i dati sensibili delle carte non sono tenute a farsi carico di queste incombenze. Un servizio fornito da terzi (ad esempio Stripe Elements) accetta e memorizza in sicurezza i dati e permette all’azienda di eliminare procedure complesse, costi e rischi. Inoltre, siccome i dati delle carte non attraversano mai i loro server, queste aziende sono tenute a soddisfare solo 22 controlli di sicurezza e la maggior parte sono estremamente semplici da gestire, come ad esempio creare password sicure.

Memorizzare i dati in sicurezza

Se un’organizzazione gestisce e memorizza i dati delle carte di pagamento è tenuta a definire l’ambiente dei dati di titolari di carta (CDE), ovvero le persone, i processi e le tecnologie che memorizzano, elaborano o trasmettono dati delle carte di pagamento o qualsiasi sistema ad essi connesso. Dato che al CDE si applicano oltre 300 requisiti di sicurezza PCI, è necessario segmentare adeguatamente l’ambiente di pagamento dal resto dell’attività, in modo da limitare l’ambito interessato dalla convalida PCI DSS. Se un’organizzazione non è in grado di circoscrivere il CDE attraverso una segmentazione granulare, i controlli di sicurezza PCI coinvolgeranno ogni sistema, computer e dispositivo della rete aziendale.

Convalida annuale

Indipendentemente dal metodo con cui accettano i dati delle carte, le organizzazioni devono completare ogni anno un modulo di convalida PCI DSS. Il modo in cui la conformità al PCI DSS viene convalidata dipende da una serie di fattori illustrati di seguito. Queste sono tre situazioni in cui a un’organizzazione potrebbe essere richiesto di soddisfare i requisiti PCI:

  • Gli elaboratori di pagamento potrebbero richiedere la conformità alle norme PCI nell’ambito dei rapporti sull’attività da stilare per i marchi di carte di pagamento
  • I partner commerciali potrebbero richiedere la conformità alle norme PCI come prerequisito per siglare accordi commerciali
  • I clienti delle piattaforme di business (le piattaforme con una tecnologia che facilita le transazioni online tra diversi gruppi di utenti) potrebbero richiedere di dimostrare la conformità alle norme PCI, per dimostrare ai propri clienti che i loro dati sono gestiti in sicurezza

L’ultima versione dello standard di protezione dei dati PCI, PCI DSS versione 3.2.1 comprende 12 requisiti principali e oltre 300 sotto-requisiti, che rappresentano le procedure ottimali per garantire la sicurezza dei dati.

    Sviluppare e gestire reti e sistemi sicuri

  1. Installare e gestire una configurazione firewall per proteggere i dati dei titolari di carta
  2. Non utilizzare valori predefiniti del fornitore per le password di sistema e altri parametri di protezione
  3. Proteggere i dati dei titolari di carta

  4. Proteggere i dati dei titolari di carta memorizzati
  5. Cifrare i dati dei titolari di carta trasmessi su reti aperte e pubbliche
  6. Utilizzare un programma per la gestione delle vulnerabilità

  7. Proteggere tutti i sistemi contro i malware e aggiornare regolarmente i programmi antivirus
  8. Sviluppare e gestire sistemi e applicazioni protette
  9. Implementare rigide misure di controllo dell'accesso

  10. Limitare l'accesso ai dati dei titolari di carta solo se effettivamente necessario
  11. Individuare e autenticare l'accesso ai componenti di sistema
  12. Limitare l'accesso fisico ai dati dei titolari di carta
  13. Monitorare ed eseguire test delle reti regolarmente

  14. Registrare e monitorare tutti gli accessi a risorse di rete e ai dati dei titolari di carta
  15. Eseguire regolarmente test dei sistemi e processi di protezione
  16. Gestire una politica di sicurezza delle informazioni

  17. Gestire una politica che garantisca la sicurezza delle informazioni per tutto il personale

Per aiutare le nuove attività a convalidare la propria conformità alle norme PCI, l’ente PCI SSC ha creato nove diversi moduli o questionari di autovalutazione (SAQ), che sono un sottoinsieme di tutti i requisiti PCI. Ogni attività deve quindi riuscire a individuare il modulo adatto alla propria situazione oppure rivolgersi a un revisore approvato dal PCI SSC per verificare che la propria attività rispetti tutti i requisiti di sicurezza PCI. La situazione è ulteriormente complicata dal fatto che il PCI SSC rivede le norme ogni tre anni e rilascia aggiornamenti incrementali durante l’anno.

Guida passo passo per la conformità alle norme PCI v3.2.1

1. Individuare i requisiti

Il primo passo per ottenere la conformità alle norme PCI è sapere quali requisiti si applicano alla propria organizzazione. Esistono quattro diversi livelli di conformità PCI, che si basano generalmente sul volume di transazioni con carte di credito elaborate nell’arco di 12 mesi.

Applicabile a Requisiti
Livello 1
  1. Organizzazioni che elaborano più di 6 milioni di transazioni all'anno oppure
  2. Hanno subito una violazione dei dati oppure
  3. Sono considerate di "Livello 1" da tutte le associazioni di carte di credito (Visa, Mastercard, ecc.)
  1. Rapporto annuale sulla conformità (ROC) svolto da un'azienda qualificata per la valutazione (QSA), detto anche valutazione PCI DSS in loco per entità di livello 1, o da un revisore interno se firmato da un responsabile della compagnia
  2. Scansione di rete trimestrale da parte di un fornitore di prodotti di scansione approvato (ASV)
  3. Attestato di conformità ( AOC) per valutazioni in loco (esistono dei moduli specifici per venditori e fornitori di servizi)
Livello 2 Organizzazioni che elaborano tra 1 e 6 milioni di transazioni all'anno
  1. Questionario di autovalutazione PCI DSS annuale (SAQ), esistono nove diversi questionari e sono illustrati brevemente nella tabella di seguito
  2. Scansione di rete trimestrale da parte di un fornitore di prodotti di scansione approvato (ASV)
  3. Attestato di conformità ( AOC), a ognuno dei 9 SAQ corrisponde un modulo AOC diverso
Livello 3
  1. Organizzazioni che elaborano da 20.000 a 1 milione di transazioni online all'anno
  2. Organizzazioni che elaborano meno di 1 milione di transazioni totali all'anno
Livello 4
  1. Organizzazioni che elaborano meno di 20.000 transazioni online all'anno oppure
  2. Organizzazioni che elaborano fino a 1 milione di transazioni totali all'anno

Per i Livelli 2-4 esistono diversi tipi di moduli SAQ in base al metodo di pagamento integrato. Di seguito una breve tabella:

SAQ Descrizione
A

Venditori che accettano solo transazioni con carta non presente (e-commerce o ordini via posta/telefono) e che hanno completamente esternalizzato le funzioni per i dati dei titolari di carta a provider di servizi terzi convalidati PCI DSS. I venditori non memorizzano, elaborano o trasmettono in formato elettronico i dati di titolari di carta nei propri sistemi o sedi.

Non applicabile a canali di pagamento fisici.

A-EP

Venditori di e-commerce che si avvalgono di terzi convalidati PCI DSS per la gestione completa del proprio canale di pagamento e hanno siti Web che non ricevono direttamente i dati dei titolari di carta, ma che incidono sulla sicurezza della transazione di pagamento. Questi venditori non memorizzano, elaborano né trasmettono in formato elettronico i dati dei titolari di carta nei propri sistemi o sedi.

Applicabile solo ai canali di e-commerce.

B

Venditori che usano solo:

  • Dispositivi di stampa che non memorizzano i dati dei titolari di carta su alcun sistema informatico e/o
  • Terminali per connessione in uscita indipendenti, che non memorizzano i dati dei titolari di carta su alcun sistema informatico.

Non applicabile ai canali di e-commerce.

B-IP

Venditori che elaborano i dati dei titolari di carta solo mediante terminali di pagamento autonomi e approvati PTS con una connessione IP all’elaboratore di pagamenti, senza memorizzare i dati dei titolari di carta su alcun sistema informatico.

Non applicabile ai canali di e-commerce.

C-VT

Venditori che inseriscono manualmente una singola transazione per volta con una tastiera in una soluzione di terminale virtuale basato su Web, fornito e ospitato da un provider di servizi di terze parti convalidato PCI DSS. I venditori non memorizzano i dati dei titolari di carta su alcun sistema informatico.

Non applicabile ai canali di e-commerce.

C

Venditori che elaborano i dati dei titolari di carta mediante sistemi di pagamento connessi a Internet, senza memorizzare tali dati su alcun sistema informatico.

Non applicabile ai canali di e-commerce.

P2PE

Venditori che elaborano i dati dei titolari di carta esclusivamente tramite terminali di pagamento hardware inclusi in una soluzione P2PE (Point-to-Point Encryption) convalidata e inclusa nell’elenco PCI e non memorizzano i dati dei titolari di carta su alcun sistema informatico.

Non applicabile ai venditori online.

D

SAQ D per venditori: Tutti i venditori che non rientrano nelle descrizioni per i tipi precedenti di modulo SAQ.

SAQ D per fornitori di servizi: Tutti i fornitori di servizi definiti da un marchio di pagamento come idonei per il questionario SAQ.

Per selezionare il questionario SAQ e l'Attestato di conformità più confacente alla propria organizzazione è possibile fare riferimento al diagramma di flusso a pagina 18 di questo documento PCI.

I requisiti PCI cambiano nel tempo, quindi uno dei modi migliori per ricevere aggiornamenti sui nuovi requisiti di sicurezza, sulle modifiche apportate a quelli già esistenti e su come riuscire a soddisfarli è diventare una Organizzazione partecipante all’ente PCI SSC (PO).

2. Mappare il flusso di dati

Prima di poter proteggere i dati sensibili delle carte di pagamento, bisogna sapere dove vengono memorizzati e come arrivano ad essere memorizzati proprio lì. È necessario creare una mappa comprensiva dei sistemi, delle connessioni di rete e delle applicazioni che interagiscono con i dati delle carte di credito all’interno dell’azienda. Probabilmente sarà necessario avvalersi dell’aiuto dei team aziendali di supporto IT e della sicurezza.

  • Per prima cosa bisogna individuare le aree dell’attività che sono a contatto diretto con i consumatori e richiedono operazioni di pagamento. Per esempio, pagamenti attraverso un carrello online, terminali di pagamento in negozio oppure ordini effettuati al telefono.
  • Poi è necessario individuare con esattezza i vari modi in cui i dati dei titolari di carta sono gestiti dall’azienda. È importante sapere esattamente dove vengono memorizzati e chi ha accesso a questi dati.
  • Infine, è necessario identificare i sistemi interni o le tecnologie sottostanti coinvolte nelle operazioni di pagamento, compresi i sistemi di rete, i data center e gli ambienti cloud.

3. Verificare i controlli e i protocolli di sicurezza

Dopo aver mappato tutti i punti di contatto per le carte di pagamento presenti nell’azienda, è necessario avvalersi dell’aiuto dei team aziendali di supporto IT e della sicurezza per garantire che le configurazioni e i protocolli di sicurezza corretti siano implementati (vedere sopra l’elenco dei 12 requisiti di sicurezza PCI). Questi protocolli, come ad esempio il Transport Layer Security (TLS), sono progettati per rendere sicura la trasmissione dei dati.

I 12 requisiti di sicurezza PCI DSS v.3.2.1 derivano dalle procedure consigliate per proteggere i dati sensibili, valide per tutte le aziende. Molti dei requisiti sono gli stessi già previsti da GDPR, HIPAA e altri regolamenti per la tutela della privacy, quindi l’azienda potrebbe già soddisfare alcuni di questi requisiti.

4. Monitorare e gestire

È importante notare che la convalida della conformità alle norme PCI non è una procedura che si svolge una sola volta all’anno. È necessario un impegno continuo per garantire che l’attività rimanga conforme alle norme PCI anche quando i flussi di dati e i punti di contatto dei clienti cambiano. Alcune aziende di carte di credito potrebbero richiedere dei resoconti trimestrali, annuali o una verifica annuale in loco per convalidare la conformità alle norme PCI; questo vale soprattutto per le aziende che elaborano oltre 6 milioni di transazioni all’anno.

Gestire la conformità alle norme PCI nell’anno (anno dopo anno) spesso richiede la collaborazione tra più dipartimenti e, se non esiste già, potrebbe richiedere anche la creazione di un team interno appositamente dedicato. Ogni azienda è unica, ma un buon punto di partenza per la creazione di un team che si occupi della conformità alle norme PCI dovrebbe avere dei rappresentanti dei seguenti settori:

  • Sicurezza: Chief Security Officer (CSO), Chief Information SecurityOfficer (CISO) e i loro team garantiscono che l’organizzazione investa sempre nelle risorse e nelle politiche di protezione dei dati più adeguate.
  • Tecnologia/Pagamenti: Chief Technology Officer (CTO), VP of Payments e i loro team si assicurano che strumenti di base, integrazioni e infrastrutture rimangano conformi quando l’organizzazione cambia.
  • Finanziario: il Chief Financial Officer (CFO) e il suo team garantiscono che si tenga traccia di tutti i flussi di dati riguardanti i pagamenti derivati dai sistemi e dai partner di pagamento.
  • Legale: questo team può essere utile per destreggiarsi tra i mille cavilli legali della conformità alle norme PCI.

Per maggiori informazioni sul complesso mondo della conformità alle norme PCI è possibile visitare il sito web del PCI SSC, l’Ente responsabile degli standard di protezione PCI. Se hai letto solo questa guida e qualche altro documento sul PCI DSS, puoi approfondire l’argomento consultando il materiale seguente: approccio prioritario per PCI DSS, istruzioni e linee guida SAQ, FAQ per usare i criteri di idoneità SAQ per determinare i requisiti di valutazione in loco e FAQ sugli obblighi per i venditori che sviluppano applicazioni per dispositivi consumer che accettano pagamenti con carta di credito.

In che modo Stripe aiuta le organizzazioni a ottenere e gestire la conformità alle norme PCI

Stripe permette alle aziende che integrano Checkout, Elements, SDK per dispositivi mobili e SDK per Terminal di ridurre il carico di lavoro necessario per la conformità alle norme PCI. Stripe Checkout e Stripe Elements usano una pagina di pagamento ospitata per gestire tutti i dati delle carte di pagamento. Pertanto, il titolare della carta inserisce tutti i dati sensibili di pagamento in una pagina di pagamento creata direttamente dai nostri server convalidati PCI DSS. Anche gli SDK per dispositivi mobili e per Terminal di Stripe permettono ai titolari di carte di inviare i dati sensibili di pagamento direttamente ai nostri server convalidati PCI DSS.

Grazie a questi sistemi più sicuri di accettazione delle carte, popoliamo i questionari di autovalutazione PCI DSS (SAQ) sulla Dashboard Stripe e per completare la convalida della conformità alle norme PCI è sufficiente premere un pulsante. Per le organizzazioni più piccole significa risparmiare centinaia di ore di lavoro, per quelle più grandi si parla di migliaia di ore di lavoro.

Per tutti gli utenti, indipendentemente dal tipo di integrazione, Stripe svolge una funzione di assistenza nell’ambito della conformità alle norme PCI e può aiutare in diversi modi.

  • Analizziamo il metodo di integrazione e consigliamo quale modulo PCI scegliere e come ridurre il carico di lavoro necessario per la convalida della conformità.
  • Avvisiamo in anticipo se l’aumento del volume di transazioni richiede un cambiamento nel modo di convalidare la conformità.
  • Ai venditori più grandi (Livello 1) offriamo un pacchetto PCI che permette di ridurre da mesi a giorni il tempo di convalida della conformità. Se è necessario collaborare con un QSA PCI (perché si memorizzano dati delle carte di credito o si ha un flusso di pagamento più complesso), ne esistono oltre 350 nel mondo e noi possiamo mettere in contatto i nostri clienti con revisori che hanno una conoscenza approfondita dei diversi sistemi di integrazione Stripe.
Classificazione Visa del livello dei venditori Tempo medio di verifica (stime annuali) Tempo medio di verifica con Stripe Elements, Checkout o SDK per dispositivi mobili (stime annuali)
Livello 1 3-5 mesi 2-5 giorni
Livello 2 1-3 mesi 0 giorni
Livello 3 1-3 mesi 0 giorni
Livello 4 1-3 mesi 0 giorni

Per maggiori informazioni su come Stripe può aiutare a proteggere i dati dei clienti e a ottenere la conformità alle norme PCI è possibile consultare il materiale Stripe sulla integrazione della sicurezza.

Conclusione

La valutazione e la convalida della conformità alle norme PCI è una procedura che di solito deve essere realizzata una volta l’anno, tuttavia gestire la conformità alle norme PCI risulta un impegno molto più gravoso e continuo. Infatti, con la crescita di un’azienda crescono anche la sua logica di business e suoi processi e questo implica un cambiamento dei requisiti di conformità che l’azienda deve applicare. Ad esempio un’attività online può decidere di aprire un negozio fisico, di entrare in un nuovo mercato o di creare un centro di assistenza clienti. Se le modifiche che intende adottare coinvolgono i dati delle carte di pagamento, è necessario controllare in anticipo se tali modifiche hanno o meno un impatto sul metodo di convalida della conformità PCI e procedere a una nuova convalida, se necessario.

La conformità alle norme PCI aiuta, ma non è abbastanza.

Aderire alle norme PCI è utile per garantire il livello di sicurezza necessario al proprio business, ma non è abbastanza. Le norme PCI stabiliscono uno standard importante per la gestione e la memorizzazione dei dati dei titolari di carta, ma da sole non garantiscono una protezione sufficiente in ogni ambiente di pagamento. Invece passare a un sistema di accettazione di carte di credito più sicuro (come Stripe Checkout, Elements e SDK per dispositivi mobili) è un modo molto più efficace per proteggere la propria organizzazione. I vantaggi che questo cambiamento porta con sé sono molti: non si dovrà più fare affidamento sugli standard di riferimento del settore o preoccuparsi di potenziali problemi con i controlli di sicurezza. Inoltre, questi sistemi permettono di ridurre il rischio di potenziali violazioni dei dati e di superare il metodo storico di convalida PCI, un approccio faticoso, dispendioso e che portava via molto tempo. Senza considerare che un metodo di pagamento integrato più sicuro è affidabile tutti i giorni dell’anno.

Torna alle guide
You’re viewing our website for Mexico, but it looks like you’re in the United States. Switch to the United States site