GFI
English Deutsch Français Italiano Nederlands Español
Protezione > FAQ sulle norme PCI DSS
FAQ sulle norme PCI DSS

Che cos'è il Consiglio degli standard PCI?
Il Consiglio degli standard Payment Card Industry è un'organizzazione istituita da American Express, Discover Financial Services, JCB, MasterCard Worldwide e Visa International al fine di migliorare la protezione dei conti di pagamento. Per raggiungere tale obiettivo, si prefigge l'adozione obbligatoria delle norme PCI Data Security Standard (PCI DSS), da parte di tutte le aziende che archiviano, elaborano e/o trasmettono dati relativi a carte di credito o debito.

Cosa sono le norme PCI DSS?
Con PCI DSS si intende il Payment Card Industry Data Security Standard. Tale norma (nota comunemente come "PCI") rappresenta una serie comune di prassi di due diligence di sicurezza che aiuta a garantire la gestione sicura dei dati relativi a carte di pagamento. Create dalle 5 maggiori società di carte di credito (American Express, JCB, MasterCard e Visa), le norme comprendono 12 requisiti distinti concepiti per:

  1. la creazione e manutenzione di una rete protetta
  2. la protezione dei dati (del titolare di carte di credito/debito) in transito o archiviati
  3. la manutenzione di un programma di gestione della vulnerabilità
  4. l'implementazione di rigide misure di controllo dell'accesso
  5. il monitoraggio e la prova regolari della propria infrastruttura di rete
  6. la manutenzione di una politica di protezione delle informazioni.

Quali sono i requisiti delle norme PCI DSS?
Le norme PCI DSS comprendono 12 requisiti, spesso noti con il soprannome di "dozzina digitale". I requisiti definiscono l'esigenza di:

  1. installare e curare la manutenzione di una configurazione firewall per proteggere i dati dei titolari di carte di credito/debito;
  2. non utilizzare i valori predefiniti del fornitore per le password di sistema e altri parametri di protezione;
  3. protegggere i dati dei titolari di carte di credito/debito memorizzati;
  4. cifrare la trasmissione dei dati di titolari di carte di credito/debito su reti aperte e pubbliche;
  5. utilizzare e aggiornare regolarmente software o programmi antivirus;
  6. sviluppare e curare la manutenzione della protezione di sistemi e applicazioni;
  7. limitare l'accesso ai dati dei titolari di carte di credito/debito da parte di aziende che "hanno necessità di sapere";
  8. assegnare un ID esclusivo a tutti coloro che abbiano accesso a un computer;
  9. limitare l'accesso fisico ai dati dei titolari di carte di credito/debito;
  10. individuare e controllare tutto l'accesso alle risorse di rete e ai dati dei titolari di carte di credito/debito;
  11. provare regolarmente i sistemi e processi di protezione;
  12. mantenere una politica che si occupi della protezione delle informazioni per dipendenti e imprenditori.

Cosa sono le carte di pagamento?
Ai fini delle norme PCI DSS, le "carte di pagamento" incorporano tutte le carte di credito e debito emesse dai circuiti American Express, Discover, JCB, MasterCard o Visa.

Quali sono i dati dei titolari di carte di credito/debito?
I dati dei titolari di carte di credito/debito sono informazioni inerenti alle carte di credito/debito e loro proprietari. Tali dati sono classificati in 2 categorie: "Dati del titolare della carta" e "Dati di autenticazione sensibili". PCI DSS impone alcune limitazioni di archiviazione sugli elementi informativi facenti parte di queste categorie.

Quali sono i dati dei titolari di carte di credito/debito?
I dati di titolari di carte di credito/debito rimandano a tutte le informazioni di una carta di credito o debito adoperati in un'operazione. Elementi dei dati di titolari di carte comunemente usati comprendono: il Numero di conto primario (PAN), il Nome del titolare e la Data di scadenza visualizzati sulla parte frontale della carta. Tutti questi elementi, insieme ad altri, sono archiviati in modo digitale sulla banda magnetica situata sul retro della carta.

Cosa sono i dati di autenticazione sensibili?
I dati di autenticazione sensibili sono informazioni di sicurezza adoperate per autenticare i titolari delle carte di credito/debito e per autorizzare le operazioni con le carte. Gli elementi dei dati di autenticazione sensibili comprendono i dati contenuti sulla banda magnetica e il Codice di Convalida della Carta, vale a dire il codice di sicurezza costituito da un numero di tre o quattro cifre situato sulla parte frontale o sul retro di una carta di credito/debito (cioè il numero CVV o CVV2)

Quali elementi dei dati dei titolari di carte di credito/debito possono essere archiviati?
Le norme PCI DSS stabiliscono quali dati possono essere archiviati e le modalità della loro protezione. Tali elementi sono il PAN, il Nome del titolare e la Data di scadenza purché siano protetti. La protezione deve assumere la forma di una cifratura attraverso tecniche forti come l'AES, altrimenti il PAN deve essere crittografato in hash o troncato. Questa protezione è importante poiché il PAN, insieme a un altro elemento, rappresentano il requisito minimo richiesto in alcuni casi per effettuare un pagamento.

Quali elementi dei dati di autenticazione sensibili possono essere archiviati?
Nemmeno uno. Non è possibile archiviare elementi dei dati di autenticazione sensibili, quand'anche cifrati, dopo l'autorizzazione di un'operazione.

Chi è tenuto alla conformità alle norme PCI DSS?
Qualsiasi persona fisica o giuridica, sia essa operatore commerciale o fornitore di servizi, che archivi, elabori e/o trasmetta dati di titolari di carte di credito/debito, indipendentemente dalle dimensioni e dal volume di operazioni effettuate. Tuttavia, i requisiti PCI DSS non si applicano ai dati elettronici. Le aziende sono vincolate a distruggere, in maniera opportuna, il materiale stampato contenente le informazioni su carte di pagamento e i dati dei titolari di carte di credito/debito. Negli ambienti di grandi dimensioni, dove la gestione dei rifiuti è subappaltata - per esempio a società di "tritadocumenti", i soggetti che richiedono tali servizi devono garantire che anche i propri "fornitori di servizi" ottemperino alle norme PCI DSS. 

Esiste una qualche forma di distinzione tra le tipologie di operatori commerciali?
Tutti gli operatori commerciali che effettuano operazioni con carte di pagamento sono classificati in 4 livelli distinti, determinati dal numero delle loro operazioni annue:

  • Livello 1: operatori commerciali con oltre 6 milioni di operazioni con carte di credito/debito e operatori commerciali di cui siano stati compromessi i dati dei titolari di carte di credito/debito.
  • Livello 2: operatori commerciali con un numero di transazioni con carte di credito/debito compreso tra 1 e 6 milioni
  • Livello 3: operatori commerciali con un numero di transazioni con carte di credito/debito compreso tra 20.000 e 1 milione
  • Livello 4: tutti gli altri operatori commerciali
Questi livelli determinano le procedure di convalida che l'operatore commerciale è tenuto ad osservare per ottenere e mantenere la conformità.

Esiste una distinzione tra le diverse tipologie di fornitori di servizi?
Tutti i fornitori di servizi che elaborano operazioni con carte di credito sono classificati nei seguenti 3 livelli:

  • Livello 1: tutti gli incaricati del trattamento di dati e tutti i servizi di pagamento virtuali
  • Livello 2: tutti i fornitori di servizi non contemplati nel Livello 1, ma con oltre 1 milione di conti o operazioni con carte di credito all'anno.
  • Livello 3: i fornitori di servizi, non compresi nel Livello 1, con meno di 1 milione di conti od operazioni con carte di credito all'anno.
Questi livelli determinano le procedure di convalida che il fornitore di servizi è tenuto ad osservare per ottenere e mantenere la conformità.

Sono un operatore commerciale. Cosa devo fare per ottemperare alle norme PCI DSS?
Per ottemperare alle norme PCI DSS, le aziende sono tenute a rispettare e dimostrare tutti i dodici requisiti indicati nelle stesse norme PCI DSS. A questo scopo, procedere come segue.

  • Per gli operatori commerciali di livello 1: controllo di sicurezza annuale in situ e scansioni trimestrali della rete. I controlli di sicurezza in situ sono eseguiti da Consulenti di sicurezza qualificati (QSA).
  • Per gli operatori di livello 2, 3 e 4: questionario di autoaccertamento annuale e scansioni trimestrali della rete. I questionari di autoaccertamento sono compilati internamente dall'operatore commerciale. Le scansioni di rete sono eseguite da un fornitore Approved Scanning Vendor (ASV).

Sono un fornitore di servizi. Cosa devo fare per ottemperare alle norme PCI DSS?
Per ottemperare alle norme PCI DSS, le aziende sono tenute a rispettare e dimostrare tutti i dodici requisiti indicati nelle stesse norme PCI DSS. A questo scopo, procedere come segue.

  • Per i fornitori di servizi di livello 1 e 2: controllo di sicurezza annuale in situ e scansioni trimestrali della rete. I controlli di sicurezza in situ sono eseguiti da Consulenti di sicurezza qualificati (QSA).
  • Per i fornitori di servizi di livello 3: questionario di autoaccertamento annuale e scansioni trimestrali della rete. I questionari di autoaccertamento sono compilati internamente dal fornitore di servizi. Le scansioni di rete sono eseguite da un fornitore Approved Scanning Vendor (ASV).

Quali sono le responsabilità delle banche acquirenti?
Gli acquirenti non sono attualmente tenuti a eseguire procedure di convalida o certificazione PCI DSS specifiche. Tuttavia, devono comunque ottemperare alle norme PCI DSS. Pertanto, le banche acquirenti devono garantire la conformità alle norme PCI DSS, o attraverso controlli interni (seguendo i criteri forniti nel questionario di autoaccertamento) oppure affidando il processo a Consulenti di sicurezza qualificati (QSA).

Inoltre, le banche acquirenti sono responsabili di garantire:

  • la conformità alle norme PCI DSS da parte dei loro operatori commerciali
  • a conformità alle norme PCI DSS da parte di tutti i fornitori di servizi tramite i quali esse, o i loro operatori commerciali, archiviano, trasmettono o elaborano dati di carte di pagamento.

Tutte le banche acquirenti (banche d'affari) devono accertarsi di ricevere la prova certificata della conformità alle norme PCI DSS da parte degli operatori commerciali con oltre 20.000 operazioni all'anno. Gli acquirenti devono garantire che gli operatori commerciali e i fornitori di servizi effettuino la convalida agli opportuni livelli, e poi ottenere la documentazione di convalida della conformità da parte degli operatori commerciali con oltre 20.000 operazioni all'anno. Dopo la ricezione delle relazioni di conformità, gli acquirenti sono tenuti a compilare e inviare relazioni mensili sulla conformità alle maggiori associazioni di carte di credito/debito. Tutta la documentazione di convalida della conformità va conservata e messa a disposizione delle associazioni suddette su richiesta. Preferibilmente, le banche acquirenti devono controllare che i fornitori di servizi inviino alle associazioni di carte di credito/debito la documentazione di convalida della conformità.

Chi è un QSA?
I Consulenti di sicurezza qualificati (QSA) sono aziende di revisione che forniscono servizi professionali di controllo della sicurezza alle società di capitali che hanno la necessità di dimostrare i frutti dei loro sforzi di conformità alle norme PCI DSS. Per vedere un elenco dei QSA, visitare il seguente sito: https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf

Chi è un ASV?
Un fornitore Approved Scanning Vendor (ASV) offre servizi di scansione di vulnerabilità e di sicurezza della rete ad aziende che desiderano ottenere la conformità alle norme PCI DSS. Per vedere un elenco di ASV, vistare il seguente sito: https://www.pcisecuritystandards.org/pdfs/asv_report.html

Che cos'è un questionario di autoaccertamento?
Un questionario di autoaccertamento è un requisito di reporting della conformità alle norme PCI DSS, per operatori commerciali e fornitori di servizi. Va completato all'interno, senza cioè l'esigenza di rivolgersi a terzi. Le aziende sono tenute a compilare tale questionario di sicurezza, che si informa sullo stato della protezione passata e presente della rete.

Entro quando bisogna ottemperare?
Sono state fissate varie scadenze, che differiscono per associazione di carte di credito e per area geografica. Tra le scadenze più importanti, stabilite da VISA USA, figurano:

  • il 31 marzo 2007: scadenza entro la quale gli operatori commerciali di livello 1 e 2 dovevano dimostrare di non memorizzare dati completi, CVV2 o PIN;
  • il 30 settembre 2007: data entro la quale tutti gli operatori commerciali di livello 1 devono aver completamente ottemperato ai PCI DSS;
  • il 31 dicembre 2007: data entro la quale tutti gli operatori commerciali di livello 2 devono aver completamente ottemperato ai PCI DSS;

VISA Europe ha stabilito la scadenza del 30 giugno 2007, entro la quale gli acquirenti dovevano confermare che i propri operatori commerciali erano del tutto conformi alle norme PCI DSS.

A chi rivolgersi in caso di dubbi o di richieste di chiarimenti?
In caso di dubbi sulle problematiche correlate alle norme PCI DSS, la principale fonte informativa è rappresentata dalla propria banca d'affari.

Quanto tempo ci vuole per ottemperare?
Non esiste un calendario di conformità standard, poiché dipende dalla dimensione di ogni particolare rete, dalla sua complessità e dal livello di protezione.

Cosa succede in caso d'inosservanza delle norme?
L'inosservanza delle norme PCI DSS comporta delle conseguenze. Le aziende rischiano multe fino a 500.000 dollari USA e costose spese legali. Da un punto di vista operativo, gli operatori commerciali e fornitori di servizi di livello 2, 3 o 4 che hanno subito violazioni di sicurezza della rete possono vedere il loro livello portato al livello 1, con conseguenti effetti negativi in termini di costi, poiché la conformità al livello 1 è più impegnativa. Inoltre, l'inosservanza produce effetti negativi sulla reputazione del marchio ed espone le società a una forte pubblicità negativa che indebolisce la fiducia dei consumatori.

Quali sono i vantaggi dell'implementazione delle norme PCI DSS?
Le norme PCI DSS sono una raccolta di regole vincolanti che promuovono procedure di protezione informatica. Le norme PCI DSS si prefiggono di ridurre le frodi finanziarie, elevando il grado delle capacità di protezione della rete di chiunque elabori informazioni relative a carte di pagamento. Esistono molti vantaggi nell'ottemperare alle norme PCD DSS. Tra i principali vantaggi per un'organizzazione, figurano:

  • la protezione dei dati personali del cliente
  • la maggiore fiducia della clientela, grazie al livello di protezione dei dati più elevato
  • la maggiore tutela contro le perdite finanziarie e i costi delle azioni correttive prodotti dalle violazioni di sicurezza
  • la conservazione della fiducia della clientela e la salvaguardia della reputazione
  • il benchmark e la valutazione dei meccanismi di protezione di sistemi che archiviano, elaborano e/o trasmettono i dati dei titolari di carte di pagamento.

Quanto tempo è necessario per ritornare al proprio livello originale dopo lo spostamento al livello 1 a causa di una violazione di sicurezza?
Il ritorno al livello 1 richiede due anni, di cui il primo anno è assegnato alla correzione degli eventuali errori procedurali che hanno causato la violazione. Il secondo anno è invece un periodo di transizione per assicurarsi che non siano accadute nuove violazioni di sicurezza.

Sono disponibili risorse on line cui rivolgersi?
Il sito del Consiglio degli standard Payment Card Industry
https://www.pcisecuritystandards.org

Documentazione di supporto
https://www.pcisecuritystandards.org/tech/supporting_documents.htm

Domande sulle norme PCI DSS
http://pcianswers.com

Elenco esaustivo delle risorse PCI DSS
http://pcianswers.com/resources/

Liste di controllo di GFI EventsManager e GFI LANguard N.S.S.
http://www.gfi.com/security/pci.htm

 

   © 2008. Tutti i diritti riservati. GFI Software Home Prodotti Download versioni di prova Supporto Ordinare Mappa del sito Chi siamo Contattaci