Il PCI-DSS (Payment Card Industry Data Security Standard) consiste in una serie di standard di conformità contenenti policy sulla protezione dei pagamenti dei consumatori e dei dati finanziari. Quando memorizzano le informazioni di pagamento dei consumatori, le aziende hanno l'obbligo di rispettare la conformità PCI-DSS, altrimenti rischiano di incorrere in pesanti sanzioni in caso di violazione. Vengono perciò offerte delle linee guida di sicurezza a cui le organizzazioni devono attenersi al fine di soddisfare gli standard.
Che cos'è la certificazione PCI-DSS?
Per attestare che un'azienda è davvero conforme alla normativa PCI-DSS, deve ottenere la certificazione PCI-DSS, dimostrando di rispettare le linee guida fornite. Le società finanziarie che controllano le carte di credito stabiliscono gli standard da rispettare, e data la rapidità con cui si evolve il panorama della sicurezza informatica, si incontrano regolarmente per rivedere le politiche di sicurezza modificandone i requisiti. Lo standard PCI-DSS definisce un insieme di regole che le organizzazioni devono seguire per poter ottenere la certificazione. Alcune delle pratiche necessarie per la certificazione PCI-DSS sono:
- Installazione di Firewall dove necessario
- Crittografia dei dati inviati da e verso i venditori
- Installazione dell'antivirus su tutti i dispositivi aziendali
- Monitoraggio delle richieste di accesso alle risorse di rete
- Controlli delle autorizzazioni sui dati dei titolari di carta di credito
Livelli di conformità del Payment Card Industry Data Security Standard
Non tutti i venditori hanno lo stesso volume di affari e risorse di rete, pertanto il PCI-DSS prevede diverse normative di conformità in base al livello del venditore. I livelli sono determinati dal volume delle transazioni effettuate con carta di credito Visa. Tutti i venditori hanno l'obbligo di rispettare la conformità PCI-DSS, indipendentemente dalle dimensioni, ma il livello a cui appartengono determinerà le misure da rispettare per ottenere la conformità.
PCI-DSS livello 1
Appartiene al livello 1 chi elabora oltre sei milioni di transazioni Visa all'anno. Si tratta generalmente di imprese globali di grandi dimensioni, ma Visa potrebbe classificare un venditore a sua discrezione in un'ottica di riduzione del rischio. Una volta all'anno la conformità verrà valutata da un auditor Visa e i venditori di livello 1 sono tenuti ad inviare una scansione di conformità PCI appoggiandosi ad un organismo autorizzato.
PCI-DSS livello 2
Qualsiasi venditore con un volume annuale di transazioni Visa da un milione a sei milioni. Chi appartiene al livello 2 deve inviare un questionario di autovalutazione (SAQ) per garantire la conformità ai requisiti di livello 2 ed essere sottoposto a scansione di conformità PCI ogni trimestre.
PCI-DSS livello 3
Chi ha un volume da 20.000 a un milione di transazioni e-commerce Visa all'anno. I venditori di livello 3 hanno l'obbligo di inviare un questionario di autovalutazione (SAQ) per dimostrare di soddisfare i requisiti di livello 3, oltre a dover eseguire scansioni di conformità PCI trimestrali.
PCI-DSS Livello 4
Quando il numero di transazioni e-commerce Visa è inferiore a 20.000 all'anno o fino a un milione di transazioni Visa standard all'anno, i venditori appartengono al livello 4. Per soddisfare i requisiti di livello 4, essi sono tenuti ad inviare un questionario di autovalutazione (SAQ) ed eseguire scansioni di conformità PCI trimestrali.
Requisiti PCI-DSS
Sebbene la maggior parte delle normative di conformità richieda solitamente rilevanti modifiche all'infrastruttura e l'adozione di particolari strumenti di sicurezza, il PCI-DSS ha pochissimi, ma molto importanti requisiti. Eventuali errori o disattenzioni nei requisiti potrebbero risultare in pesanti sanzioni, perciò è fondamentale per le aziende attenersi alle linee guida PCI-DSS adottando gli opportuni controlli.
Le società che emettono carte di credito impongono alle aziende il rispetto di 12 requisiti per restare conformi allo standard PCI-DSS. Gli standard hanno lo scopo di proteggere i dati dei titolari delle carte, pertanto i requisiti riguardano sostanzialmente la protezione delle informazioni sensibili contro le minacce informatiche. Eventuali modifiche ai requisiti vengono annunciate e rese pubbliche dal Consiglio di Sicurezza, perciò sarà necessario per le aziende riesaminarle annualmente al fine di garantire che i requisiti di conformità siano sempre soddisfatti.
I 12 requisiti richiesti dalla PCI-DSS sono:
1 - Installare i firewall configurandoli per bloccare il traffico pericoloso
La maggior parte delle aziende sicuramente dispone già di un firewall nella propria rete che fa da barriera tra l'infrastruttura interna e la rete internet esterna. Ma nelle reti più grandi e strutturate, in cui magari viene offerto anche il Wi-Fi pubblico e i vari reparti vanno tenuti separati, c'è bisogno si ulteriori firewall. Ad esempio, al fine di proteggere i dati dei titolari di carta di credito andrebbe utilizzato un firewall per separare il dipartimento finanziario e i relativi dati dal reparto vendite.
2 - Non utilizzare le password di sistema predefinite fornite dai produttori dei dispositivi
Al fine di rendere più agevole il lavoro degli amministratori di rete, ogni dispositivo di rete viene fornito già funzionante, con la password predefinita impostata dal produttore. Tali password però sono distribuite pubblicamente, il che rende le risorse di rete accessibili da eventuali malintenzionati. Dopo aver collegato un dispositivo alla rete, la prima cosa che un amministratore deve fare è modificare la password predefinita con una nuova password sicura, che sia difficile da indovinare ma abbastanza facile da ricordare.
3 - Proteggere i dati finanziari archiviati dei consumatori
Potrebbe sembrare ovvio, ma non tutte le aziende archiviano i dati delle carte di credito e non tutte si adoperano per garantire la dovuta sicurezza. Per esempio, i dati delle carte di credito devono essere crittografati quando vengono archiviati in un database e nessuno all'interno dell'azienda dovrebbe avere libero accesso ad essi. Qualsiasi richiesta di accesso deve essere monitorata e va tenuto un registro di controllo da consultare in caso di violazioni.
4 - I dati finanziari che viaggiano in reti pubbliche vanno crittografati
Per viaggiare su Internet e all'interno di reti pubbliche, i dati finanziari devono essere crittografati, al fine di evitare intercettazioni. Gli utenti immettono i dati della loro carta di credito su un sito di e-commerce e queste informazioni vanno crittografate. Il venditore invia i dati della carta di credito a un processore e anche in questa fase vanno crittografati. Alcune aziende poi, quelle più strutturate crittografano anche il traffico all'interno della rete aziendale.
5 - Installare e mantenere regolarmente aggiornato l’antivirus
Tutti i server e le workstation aziendali devono essere dotate di un software antivirus installato. Ancora meglio, l'antivirus dovrebbe essere installato anche su qualsiasi dispositivo mobile che archivia o elabora dati delle carte di credito. Con la crescente popolarità degli smartphone, proteggere tutti i tipi di endpoint ed investire nella mobile security dovrebbe diventare una priorità per le aziende che accettano pagamenti tramite dispositivi mobili.
6 - Dotarsi di sistemi per la protezione dei dati integrata
I sistemi all'interno della rete cambiano costantemente, e al crescere dell'azienda gli amministratori ne aggiungeranno sempre di nuovi. Ogni volta che si installa un nuovo sistema all'interno dell'infrastruttura aziendale va integrato tenendo conto della sicurezza. La nuova infrastruttura deve essere sicura e ogni risorsa va configurata con l'obiettivo di garantire la sicurezza dei dati delle carte di credito.
7 - Utilizzare lo standard del privilegio minimo per l'accesso ai dati
L'accesso ai dati della carta di credito va consentito agli utenti solo se ciò è necessario per svolgere i propri incarichi lavorativi. I dati delle carte di credito sono a rischio di insider threats, per cui dovrebbero essere autorizzati solo i dipendenti che hanno strettamente bisogno di accedervi per svolgere un determinato compito. In certi casi, per aumentare la sicurezza, si maschera una parte del numero della carta di credito. Ad esempio, gli addetti al servizio clienti possono vedere soltanto le ultime quattro cifre della carta di credito, a differenza di chi lavora al reparto fatturazione che può vedere invece il numero completo per poter aiutare i clienti a cambiare il numero di carta in archivio.
8 - Tenere traccia tramite user ID di tutte le richieste di accesso ai dati delle carte di credito
Che si tratti di un account compromesso o di insider threat, registrare le richieste di accesso con l'ID utente lascerà una traccia utile in caso di indagini. Gli investigatori e le forze dell'ordine utilizzano proprio gli audit trail per identificare il responsabile di una violazione, e allo stesso modo sono importanti nelle fasi di incident response perché aiutano a identificare l'entità del danno e quali consumatori sono stati interessati da una violazione dei dati.
9 - Limitare l'accesso fisico ai dati delle carte di credito
I server su cui sono archiviate le informazioni relative alle carte di credito devono disporre di adeguate misure fisiche di sicurezza. Per le aziende che archiviano i dati delle carte di credito sul cloud, gli stessi provider di servizi cloud devono rispettare gli standard PCI-DSS. Qualsiasi richiesta di accesso all'infrastruttura va registrata, così da avere una traccia per eventuali controlli e indagini.
10 - Registrare e monitorare le richieste di accesso alle risorse di rete su cui sono memorizzati i dati delle carte di credito
Il monitoraggio dell'accesso ai dati è un requisito comune a molte normative. Registri e monitoraggio vanno a braccetto nell'ambito della sicurezza e protezione dei dati. I registri tengono traccia delle richieste di accesso, mentre gli strumenti di monitoraggio utilizzano questi eventi per identificare le anomalie che fanno scattare le notifiche per gli amministratori. Il monitoraggio serve agli analisti per identificare prontamente gli incidenti, e rispondere rapidamente per contenerli e limitare i danni derivanti da una violazione.
11 - Testare spesso i sistemi e le procedure di sicurezza
Può capitare che i sistemi di sicurezza occasionalmente si guastino o non funzionino come dovrebbero, perciò è importante che gli amministratori verifichino periodicamente i controlli di sicurezza nell'intera infrastruttura. Alcune aziende organizzano eventi incentrati sulla sicurezza, offrendo premi ai dipendenti che riescono a trovare vulnerabilità nei sistemi e nelle risorse. Oltre alle verifiche annuali, gli amministratori dovrebbero valutare periodicamente la documentazione di conformità PCI-DSS per assicurarsi di essere sempre conformi.
12 - Documentare le policy di sicurezza e distribuirle ai dipendenti
I lavoratori non possono seguire le policy di sicurezza se non ne sono a conoscenza. Il PCI-DSS richiede ai datori di lavoro di predisporre e documentare le policy di sicurezza in modo che i dipendenti possano farvi riferimento per capire chiaramente ciò che deve essere fatto, e il modo corretto in cui gestire i dati dei clienti.
Quali benefici apporta lo standard PCI-DSS?
Mantenersi conformi richiede indubbiamente un grande sforzo, ma rispettare lo standard PCI-DSS porta molti benefici anche in termini economici, perciò è nel vostro interesse seguire le linee guida e rispettare i requisiti di sicurezza stabiliti dallo standard PCI-DSS, facendo tutto il necessario per proteggere i dati dei titolari di carte di credito.
I benefici includono:
- Maggior fiducia da parte dei clienti. Quando effettuano pagamenti, i clienti vogliono stare tranquilli sul fatto che i loro dati sono al sicuro. Avere la certificazione di conformità PCI-DSS comunica che la vostra attività fa quanto necessario per proteggere le informazioni delle carte di credito.
- Prevenire le violazioni dei dati. Qualsiasi organizzazione che archivia dati sensibili come quelli relativi alle carte di credito, deve mettere al primo posto la sicurezza. Gli standard PCI-DSS aiutano le organizzazioni a prevenire e bloccare gli attacchi informatici che potrebbero causare danni rilevanti e ingenti perdite economiche.
- Restare conformi agli standard globali. Il Payment Card Industry Security Standards Council (PCI SSC) comprende le principali società di carte di credito a livello globale e offre aggiornamenti sulle ultime tendenze riguardo la sicurezza informatica. Alcuni fornitori potrebbero richiedere di mantenere la conformità PCI-DSS per poter fare affari con loro.
- Aiuta ad implementare controlli di sicurezza adeguati. Non è affatto facile districarsi tra le innumerevoli soluzioni di sicurezza offerte dal mercato, se non si ha un apposito team interno esperto in cybersecurity. I framework PCI-DSS offrono una guida in tal senso. Implementare gli standard PCI-DSS offre inoltre agli amministratori indicazioni sui controlli di sicurezza da adottare per proteggere in maniera efficace i dati delle carte di credito.
- Fornisce linee guida per altri standard di conformità. La maggior parte delle aziende ha l'obbligo di aderire a molteplici standard di conformità. L'applicazione degli standard PCI-DSS consentirà all'azienda di essere conforme anche ad altri standard. Ad esempio, i framework PCI-DSS sono importanti anche per la conformità HIPAA e GDPR.
Mancata conformità al PCI-DSS
La mancata conformità al PCI-DSS comporta pesanti conseguenze. Subire una violazione di dati, può costare a un'azienda milioni di euro per riparare il danno e coprire i costi per i contenziosi derivanti da azioni legali collettive. Le cinque conseguenze principali sono:
- Sanzioni mensili: Avere infrastrutture non conformi mette a rischio i dati delle carte di credito dei consumatori, per questo il PCI-DSS stabilisce pesanti sanzioni mensili in caso di violazione, che, in base al livello del venditore, variano da 5000$ fino a 100.000$ al mese.
- Compromissione del sistema e violazione dei dati: sistemi di sicurezza insufficienti lasciano spazio alle vulnerabilità sfruttate dai cybercriminali per la violazione dei dati, con danni economici che possono arrivare a milioni di euro in risposta agli incidenti. Oltre a comportare lunghe indagini, perdita di fiducia dei clienti e probabili contenziosi.
- Azioni legali: Le violazioni più serie portano i clienti ad organizzarsi in vere e proprie class action per ottenere un rimborso dei danni subiti. Le aziende si troveranno inoltre a dover far fronte alle spese per le consulenze legali e ogni rimborso stabilito in fase processuale.
- Danno alla reputazione aziendale: Se un'azienda è nota per prestare poca attenzione alla sicurezza, i clienti si rivolgeranno a un concorrente. Il danno di immagine che ne deriva influisce negativamente sulla fedeltà e sulla fiducia dei clienti.
- Perdite economiche: Con la fuga dei clienti verso i concorrenti, l'azienda perde introiti, che vengono erosi ancor più dalle spese sostenute per le azioni legali.
Best practice per la conformità PCI-DSS
La maggior parte delle best practice PCI-DSS segue i requisiti, ma le aziende hanno la possibilità di implementare politiche aggiuntive per incrementare la sicurezza. Ecco alcune pratiche aggiuntive da considerare:
- Mantenere aggiornati i software: Periodicamente gli sviluppatori rilasciano aggiornamenti che correggono i problemi di sicurezza nei loro software, perciò è importante applicare sempre gli aggiornamenti e le patch di sicurezza per evitare di lasciare l'infrastruttura vulnerabile.
- Tokenizzare i dati delle carte di credito: Il processo di tokenizzazione è simile alla crittografia. Sostituisce i dati sensibili con dati non sensibili mantenendo solo gli elementi dei dati originali che sono indispensabili per garantire la continuità delle operazioni aziendali.
- Assegnare un ID univoco a ogni utente e risorsa: Gli amministratori assegnano agli utenti degli identificativi univoci, ma qualsiasi componente che accede ai dati dovrebbe avere anche un ID univoco per tenere traccia delle richieste di accesso.
- Proteggere le password: Richiedere a tutti gli utenti di conservare in modo sicuro le proprie password. Si consiglia l'utilizzo dei password manager per garantire la sicurezza delle stesse.
- Software per Penetration Testing e Configurazioni di Rete: Assumere un hacker white hat per testare la propria infrastruttura, permetterà di individuare falle nella sicurezza e vulnerabilità nella rete e nei software, così da prendere le dovute contromisure per risolverle.
Come può aiutarvi Proofpoint
Proofpoint offre numerose soluzioni che permettono alle aziende di ottenere e mantenere la conformità PCI-DSS, assicurando il rispetto dei requisiti sulla protezione dei dati in una vasta gamma di settori, come PCI, HIPAA e GDPR, oltre a proteggere i vostri dati aziendali più sensibili come proprietà intellettuale, documenti legali e accordi di fusione e acquisizione. I nostri strumenti e risorse per la protezione dei dati garantiscono la sicurezza dei dati dei consumatori, proteggendoli dagli attacchi.
Mantenere la conformità è importante per la garantire la continuità aziendale, anche se il solo fatto di essere conformi non basta per mantenere la vostra azienda completamente al sicuro da ogni minaccia. Le aziende sono generalmente tenute a rispettare molteplici normative e Proofpoint vi aiuterà a trovare il giusto equilibrio tra conformità e sicurezza.
Il Giusto Equilibrio tra Conformità e Sicurezza
Proofpoint ha preso parte, insieme ai maggiori leader della sicurezza informatica, al World Cybersecurity Congress a Londra. Il tema della conferenza? Le normative.
Che Cos'è la Data Protection?
La data protection ha lo scopo di proteggere le informazioni da attacchi ed incidenti. Scopri cos'è la data protection, perché è importante, alcune considerazioni, e altro ancora.
Adattare la Data Protection a un Mondo in Evoluzione
Eric Hanselman di 451 Research e Brian Reed di Proofpoint discutono della protezione dei dati in un panorama in continua evoluzione. Segui il dibattito.
Perché la Data Protection va di Pari Passo con la Conformità
Le app per la collaborazione sono sempre più popolari, ma le soluzioni per la compliance continuano a funzionare a compartimenti stagni. Scopri perché la protezione dei dati e la conformità vanno di pari passo.
Tre Esempi Principali dell'Utilizzo della Data Protection Incentrata sull'Utente nell'Era Cloud
In questo e-book analizziamo più da vicino la natura degli incidenti di data loss causati dal fattore umano. Abbiamo individuato tre tipologie di utenti - negligenti, malintenzionati e vittime di attacchi - e come gestire i rischi legati ad essi.