Compliance PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) è un insieme di requisiti di sicurezza mantenuto dal PCI Security Standards Council, fondato da Visa, Mastercard, American Express, Discover e JCB. Qualsiasi organizzazione che archivia, processa o trasmette dati di titolari di carta deve essere conforme, indipendentemente dalle dimensioni o dal volume di transazioni.

La non conformità comporta conseguenze finanziarie reali. I circuiti delle carte possono imporre sanzioni da $5.000 a $100.000 al mese alle banche acquirenti, che le riversano direttamente sul merchant. Oltre alle sanzioni, un'organizzazione non conforme rischia di perdere completamente i privilegi di elaborazione, il che per la maggior parte delle aziende significa l'impossibilità di accettare carte di credito.

In caso di breach di dati, le organizzazioni non conformi affrontano costi di indagine forense, commissioni obbligatorie di riemissione delle carte (da $3 a $10 per carta su potenzialmente milioni di conti), sanzioni normative e responsabilità civile. Aziende come Target ed Equifax hanno pagato centinaia di milioni in costi legati a breach. L'investimento in compliance è una frazione dell'esposizione a un breach.

I circuiti delle carte classificano i merchant in quattro livelli in base al volume annuale di transazioni, e ogni livello richiede diverse modalità di validazione. Il Livello 1 si applica ai merchant che elaborano più di 6 milioni di transazioni all'anno su tutti i canali. I merchant di Livello 1 devono completare un Report on Compliance (ROC) annuale condotto da un Qualified Security Assessor (QSA) e inviare scansioni di rete trimestrali eseguite da un Approved Scanning Vendor (ASV).

Il Livello 2 copre i merchant che elaborano da 1 milione a 6 milioni di transazioni annuali. Questi merchant possono completare un Self-Assessment Questionnaire (SAQ) o sottoporsi a un audit QSA, a seconda dei requisiti dell'acquirer. Il Livello 3 si applica ai merchant che elaborano da 20.000 a 1 milione di transazioni e-commerce all'anno, validati attraverso il SAQ appropriato.

Il Livello 4 include tutti i merchant che elaborano meno di 20.000 transazioni e-commerce o fino a 1 milione di transazioni non e-commerce all'anno. Nonostante sia la fascia più piccola, i merchant di Livello 4 devono comunque completare un SAQ e potrebbero essere tenuti a effettuare scansioni trimestrali dell'ASV. Tutti i livelli richiedono scansioni trimestrali dell'ASV se il merchant ha sistemi esposti a internet.

Importante: qualsiasi merchant che subisca un breach di dati può essere elevato al Livello 1 dai circuiti delle carte, indipendentemente dal volume di transazioni. Il livello di compliance è un minimo, non un massimo.

I service provider sono organizzazioni che archiviano, processano o trasmettono dati di titolari di carta per conto di altre entità, o che possono influire sulla sicurezza dei dati delle carte. Ciò include gateway di pagamento, provider di hosting, servizi gestiti di sicurezza, vendor di tokenization e qualsiasi terza parte con accesso ad ambienti di dati di carte.

I service provider di Livello 1 elaborano o hanno il potenziale di impattare più di 300.000 transazioni all'anno. Devono sottoporsi a una valutazione annuale in loco del QSA e produrre un Report on Compliance (ROC). I service provider di Livello 2 gestiscono 300.000 o meno transazioni e possono validare la conformità tramite SAQ D per Service Provider.

La distinzione tra classificazione merchant e service provider è rilevante perché alcune organizzazioni rientrano in entrambe. Una piattaforma SaaS che elabora pagamenti per i propri servizi (merchant) e gestisce anche pagamenti per conto dei propri clienti (service provider) deve validare la compliance sotto entrambe le classificazioni. Classificare in modo errato la propria organizzazione è uno degli errori PCI più comuni e costosi.

Il SAQ A è il modulo più semplice, con circa 30 requisiti. Si applica ai merchant che esternalizzano completamente tutte le funzioni relative ai dati delle carte a terze parti PCI-compliant, senza archiviazione, elaborazione o trasmissione elettronica sui sistemi del merchant. Se il checkout utilizza un reindirizzamento completo a Stripe Checkout, PayPal o una pagina di pagamento ospitata, il SAQ A è probabilmente il percorso corretto. Questo è lo scenario di perimetro minimo.

Il SAQ A-EP copre i merchant e-commerce che esternalizzano parzialmente l'elaborazione dei pagamenti ma il cui sito web controlla come viene consegnata la pagina di pagamento (ad esempio, tramite un iFrame incorporato). Include circa 140 requisiti e richiede controlli più rigorosi perché il server web del merchant potrebbe essere compromesso per interferire con i dati di pagamento. Il SAQ B si applica ai merchant che utilizzano imprinter o terminali standalone con connessione telefonica senza accesso a internet, mentre il SAQ B-IP copre i terminali collegati via IP.

Il SAQ C si applica ai merchant con sistemi applicativi di pagamento connessi a internet ma senza archiviazione elettronica dei dati dei titolari di carta. Il SAQ C-VT copre i merchant che inseriscono manualmente singole transazioni tramite un terminale virtuale su un computer isolato. Il SAQ P2PE si applica ai merchant che utilizzano soluzioni validate di Point-to-Point Encryption (P2PE) inserite nell'elenco PCI, con solo circa 33 requisiti, perché l'hardware di cifratura rimuove quasi tutto il perimetro.

Il SAQ D è il più completo, coprendo tutti i 300+ requisiti del PCI DSS. Si applica ai merchant che elaborano, archiviano o trasmettono direttamente i dati dei titolari di carta e ai service provider che non soddisfano i criteri del SAQ D per Service Provider. Se i Suoi sistemi toccano numeri di carta in chiaro in qualsiasi punto, probabilmente si trova nel territorio del SAQ D.

I provider di card vault operano nella fascia di perimetro più elevata. L'intero Cardholder Data Environment (CDE) archivia PAN reali e potenzialmente dati di autenticazione sensibili. Affrontano tutti i requisiti PCI DSS di service provider Livello 1, con centinaia di controlli, test di penetrazione regolari e audit annuali del QSA.

I gateway di pagamento e i processori rientrano anch'essi nell'alto perimetro come service provider di Livello 1. Trasmettono e spesso elaborano dati dei titolari di carta, richiedendo segmentazione di rete completa, cifratura e controlli di accesso. I payment facilitator (PayFac) hanno una responsabilità particolare: devono validare la propria conformità e assicurare che ogni sub-merchant soddisfi i requisiti PCI appropriati al proprio livello.

Le aziende che utilizzano Stripe, PayPal, Square o provider PCI-compliant simili beneficiano di una riduzione drastica del perimetro. Se la Sua integrazione utilizza un reindirizzamento completo o campi di pagamento ospitati, il perimetro può essere ridotto fino al SAQ A, circa 30 requisiti. Passare da un redirect a un iFrame incorporato aumenta il perimetro al SAQ A-EP. Utilizzare direct post o tokenization client-side dove i Suoi server vedono i dati della carta, anche brevemente, può portarLa nel territorio del SAQ D.

Per le aziende e-commerce, il perimetro aumenta in quest'ordine: reindirizzamento completo (minore), iFrame o campi ospitati (moderato), tokenization basata su JavaScript (moderato-alto), direct API post (maggiore). Scegliere l'architettura di integrazione corretta prima di costruire è molto meno costoso che riprogettare dopo che un QSA Le comunica che il Suo perimetro è più ampio del previsto.

La tokenization sostituisce i numeri reali delle carte con token non sensibili che non hanno valore sfruttabile in caso di furto. Implementare la tokenization tramite un provider PCI-compliant può ridurre i sistemi in perimetro dall'80% al 95%. Il token è inutile senza accesso al token vault, che rimane nell'ambiente del provider, non nel Suo.

La segmentazione di rete isola il Cardholder Data Environment dal resto della rete aziendale. Una segmentazione adeguata significa che un breach dell'infrastruttura IT generale non compromette automaticamente i dati delle carte. Senza segmentazione, l'intera rete rientra nel perimetro PCI, il che moltiplica sia il costo della compliance sia la complessità dell'audit.

Point-to-Point Encryption (P2PE) cifra i dati dei titolari di carta nel punto di interazione (il terminale) utilizzando cifratura basata su hardware che impedisce la decifratura in qualsiasi punto dell'ambiente del merchant. Le soluzioni P2PE validate dal PCI riducono il perimetro di oltre il 90% perché il merchant non maneggia mai dati di carta leggibili. Questo è il percorso più rapido verso il perimetro minimo per le attività con punto vendita fisico.

Altre strategie efficaci includono la minimizzazione della conservazione dei dati (non archivi ciò che non Le serve), l'esternalizzazione delle funzioni di pagamento a provider PCI-compliant e il consolidamento dei sistemi di pagamento per ridurre il numero di componenti in perimetro. Ogni sistema rimosso dal perimetro è un sistema in meno da monitorare, aggiornare, sottoporre ad audit e difendere.

Requisito 1: Installare e mantenere controlli di sicurezza di rete (firewall, liste di controllo degli accessi e segmentazione tra reti fidate e non fidate). Requisito 2: Applicare configurazioni sicure a tutti i componenti del sistema, rimuovendo i valori predefiniti del produttore e i servizi non necessari. Requisito 3: Proteggere i dati di conto archiviati utilizzando cifratura, troncamento, mascheramento e hashing, con gestione rigorosa delle chiavi. Requisito 4: Proteggere i dati dei titolari di carta con crittografia forte durante la trasmissione su reti aperte o pubbliche, con TLS 1.2 come minimo.

Requisito 5: Proteggere tutti i sistemi e le reti dal software malevolo utilizzando soluzioni anti-malware aggiornate regolarmente. Requisito 6: Sviluppare e mantenere sistemi e software sicuri attraverso patching, pratiche di codifica sicura e gestione delle vulnerabilità. Nella v4.0, questo copre esplicitamente software personalizzato e su misura con revisioni del codice obbligatorie o protezioni WAF. Requisito 7: Limitare l'accesso ai dati dei titolari di carta esclusivamente al personale con una necessità aziendale documentata.

Requisito 8: Identificare gli utenti e autenticare l'accesso ai componenti del sistema. PCI DSS v4.0 ha aumentato la lunghezza minima della password a 12 caratteri e ha esteso i requisiti di multi-factor authentication (MFA) a tutti gli accessi al CDE, non solo all'accesso remoto. Requisito 9: Limitare l'accesso fisico ai dati dei titolari di carta e ai sistemi. Requisito 10: Registrare e monitorare tutti gli accessi alle risorse di rete e ai dati dei titolari di carta con logging centralizzato e allarmi.

Requisito 11: Testare regolarmente la sicurezza di sistemi e reti tramite scansioni di vulnerabilità, test di penetrazione e rilevamento delle intrusioni. Requisito 12: Supportare la sicurezza delle informazioni con policy organizzative, procedure e un programma formale di sensibilizzazione alla sicurezza. Nella v4.0, i service provider devono effettuare una revisione formale del perimetro PCI almeno ogni sei mesi.

PCI DSS v4.0 ha sostituito la v3.2.1 e tutti i requisiti v4.0 sono diventati obbligatori il 31 marzo 2025. Le organizzazioni che non hanno effettuato la transizione si trovano ora fuori conformità. L'aggiornamento rappresenta la revisione più significativa dello standard dalla sua creazione, con cambiamenti strutturali nel modo in cui i requisiti vengono organizzati e validati.

I cambiamenti principali includono requisiti ampliati di MFA per tutti gli accessi al CDE (non solo remoti), lunghezza minima della password di 12 caratteri (da 8), requisiti di cifratura migliorati e l'introduzione del Customized Approach come alternativa al Defined Approach. Il Customized Approach consente alle organizzazioni di soddisfare l'intento di un requisito attraverso controlli alternativi, validati dal QSA, anziché seguire passaggi prescrittivi di implementazione.

I service provider affrontano obblighi aggiuntivi nella v4.0. Devono rivalutare il proprio perimetro PCI almeno ogni sei mesi (non solo annualmente), implementare controlli per rilevare e rispondere ai guasti dei controlli di sicurezza critici in modo tempestivo, e mantenere un inventario aggiornato di tutte le chiavi e i certificati attendibili. Questi cambiamenti riflettono la realtà che le compromissioni dei service provider hanno effetti a cascata su migliaia di ambienti merchant.

Per i team tecnologici, i cambiamenti v4.0 di maggiore impatto includono requisiti per la scansione autenticata delle vulnerabilità interne, analisi del rischio mirata per definire la frequenza di determinati controlli periodici, e requisiti espliciti per la gestione degli script sulle pagine di pagamento al fine di prevenire attacchi di e-commerce skimming. Se l'ultima valutazione è stata effettuata sotto la v3.2.1, un'analisi di gap rispetto alla v4.0 dovrebbe essere la prima priorità.