Vai al contenuto

Payment Card Industry Data Security Standard

Da Wikipedia, l'enciclopedia libera.
Grammatica da correggere!
Questa voce o sezione sugli argomenti informatica e economia contiene errori ortografici o sintattici oppure è scritta in una forma migliorabile.
Commento: Il testo risulta non scorrevole in alcuni tratti, a causa di una traduzione non semplice. Si consiglia di visionare la voce in inglese in caso di perplessità.
Contribuisci a correggerla secondo le convenzioni della lingua italiana e del manuale di stile di Wikipedia. Segui i suggerimenti dei progetti di riferimento 1, 2.
Questa voce è da wikificare
Questa voce o sezione sull'argomento informatica non è ancora formattata secondo gli standard.
Contribuisci a migliorarla secondo le convenzioni di Wikipedia. Segui i suggerimenti del progetto di riferimento.

Il Payment Card Industry Data Security Standard (PCI DSS) è uno standard di sicurezza delle informazioni che regolamenta il modo in cui le entità memorizzano, elaborano e trasmettono i dati dei titolari di carta (Cardholder Data, CHD) e/o i dati sensibili di autenticazione (Sensitive Authentication Data, SAD).

I dati dei titolari di carta includono informazioni come il numero principale del conto (Primary Account Number, PAN), il nome del titolare, la data di scadenza e i codici di servizio. I dati sensibili di autenticazione comprendono informazioni come i dati completi della traccia magnetica (o equivalenti sul chip), i codici di verifica della carta e i PIN/PIN block.

Questo standard è gestito dal Payment Card Industry Security Standards Council (PCI SSC) e il suo utilizzo è obbligatorio per i circuiti di pagamento. È stato creato per garantire un maggiore controllo sui dati dei titolari di carta e ridurre le frodi. La convalida della conformità avviene annualmente o trimestralmente, mediante un metodo adeguato al volume delle transazioni [1]:

  • Questionario di autovalutazione (SAQ);
  • Sistema di valutazione della sicurezza interna (ISA), specifico dell'azienda;
  • Valutazione della sicurezza, da un qualificato esterno (QSA) .[1]

Storia

[modifica | modifica wikitesto]

Prima del lancio del PCI DSS, la sicurezza dei dati delle carte di pagamento era gestita dai principali circuiti di pagamento, ognuno con il proprio programma:

Lo scopo era simile: creare un livello di protezione aggiuntivo per gli emittenti di carte, garantendo che i commercianti rispettassero minimi requisiti di sicurezza nel trattamento dei dati delle carte. Con l’aumento delle frodi negli anni ’90 e 2000 [4], i circuiti principali hanno avvertito la necessità di uniformare gli standard di sicurezza. [5]

Per risolvere i problemi di interoperabilità tra gli standard esistenti, gli sforzi congiunti delle principali organizzazioni hanno portato, nel dicembre 2004, al rilascio della versione 1.0 del PCI DSS. Da allora, il PCI DSS è stato adottato a livello globale. [5]

Successivamente, nel settembre 2006, MasterCard, American Express, Visa, JCB International e Discover Financial Services hanno costituito il PCI SSC come entità amministrativa e di governo, responsabile dell’evoluzione e dello sviluppo del PCI DSS. [6] [7] Organizzazioni private indipendenti possono partecipare allo sviluppo dello standard registrandosi come PCI SSC Participating Organization (PO) e contribuendo ai lavori dei vari Special Interest Group (SIG).

Sono state rese disponibili le seguenti versioni di PCI DSS:[8]

Versione Data Appunti
1.0 15 dicembre 2004
1.1 Settembre 2006 Chiarimenti e revisioni minori
1.2 Ottobre 2008 Maggiore chiarezza, flessibilità e gestione dei rischi in evoluzione
1.2.1 Luglio 2009 Correzioni minori per maggiore chiarezza e coerenza
2.0 Ottobre 2010
3.0 Novembre 2013 Attivo dal 1 gennaio 2014 al 30 giugno 2015
3.1 Aprile 2015 Ritirata dal 31 ottobre 2016
3.2 Aprile 2016 Ritirata dal 31 dicembre 2018
3.2.1 Maggio 2018 Ritirata dal 31 marzo 2024
4.0 Marzo 2022 Terminologia firewall aggiornata, espansione del requisito 8 [9] per l'autenticazione a più fattori (MFA), maggiore flessibilità per dimostrare la sicurezza e analisi dei rischi mirate [10]
4.0.1 Giugno 2024 Correzioni tipografiche e altri errori minori, aggiornamento della guida e riferimenti al glossario [11]

Il PCI DSS prevede dodici requisiti di conformità, organizzati in sei gruppi correlati, noti come obiettivi di controllo [12]:

  1. Costruire e mantenere una rete e i suoi sistemi sicuri
  2. Proteggere i dati dei titolari di carta
  3. Mantenere un programma di gestione delle vulnerabilità
  4. Implementare forti misure di controllo degli accessi
  5. Monitorare e testare regolarmente le reti
  6. Mantenere una politica di sicurezza delle informazioni

Ogni versione del PCI DSS ha organizzato questi sei gruppi in modi leggermente diversi, ma i dodici requisiti non sono cambiati dalla nascita dello standard. Ciascun requisito e sotto-requisito è suddiviso in tre sezioni principali:

  1. Requisito PCI DSS: definisce il requisito stesso; l’adesione allo standard PCI DSS viene riconosciuta al momento della sua implementazione.
  2. Test: i processi e le metodologie utilizzati dal valutatore per confermare la corretta implementazione del requisito.
  3. Linee guida: spiegano lo scopo del requisito e i contenuti correlati, per agevolarne la corretta applicazione.

Nella versione 4.0.1 del PCI DSS, i dodici requisiti sono:

  1. Installare e mantenere un sistema firewall per proteggere i dati delle carte.
  2. Evitare le impostazioni predefinite dal fornitore per le password di sistema e altri parametri di sicurezza.
  3. Proteggere i dati dei titolari delle carte memorizzati.
  4. Crittografare la trasmissione dei dati dei titolari di carta su reti pubbliche aperte.
  5. Proteggere tutti i sistemi dai malware e aggiornare periodicamente i software o i programmi antivirus.
  6. Sviluppare e mantenere sistemi e applicazioni sicure.
  7. Limitare l'accesso ai dati delle carte alle mere esigenze aziendali (need-to-know basis[13]).
  8. Identificare e autenticare l'accesso ai componenti del sistema.
  9. Limitare l'accesso fisico ai dati dei titolari di carta.
  10. Tracciare e monitorare l'accesso alle risorse di rete e ai dati dei titolari di carta.
  11. Testare regolarmente i sistemi e i processi di sicurezza.
  12. Mantenere una politica di sicurezza delle informazioni che affronti la sicurezza delle informazioni per tutto il personale.

Livelli di segnalazione

[modifica | modifica wikitesto]

Le entità soggette agli standard PCI DSS devono essere conformi allo standard; il modo in cui dimostrano e riportano la conformità dipende dal Merchant Level. Esistono quattro livelli, che determinano il tipo di reportistica richiesta a ciascuna azienda. Il livello di un merchant è determinato dal volume annuale delle transazioni

Un’acquiring bank [14] o un circuito di pagamento può, a sua discrezione, assegnare manualmente un’organizzazione a un determinato Merchant Level.[15] I livelli sono:

  • Livello 1 – Oltre sei milioni di transazioni all'anno
  • Livello 2 – Tra uno e sei milioni di transazioni
  • Livello 3 – Tra 20.000 e un milione di transazioni e tutti i commercianti di e-commerce
  • Livello 4 – Meno di 20.000 transazioni[16][17]

Convalida della conformità

[modifica | modifica wikitesto]

La convalida della conformità consiste nella valutazione e conferma che i controlli e le procedure di sicurezza siano stati implementati secondo il PCI DSS. La convalida avviene tramite una valutazione annuale, condotta da un ente esterno oppure mediante autovalutazione. [18]

Rapporto sulla conformità (ROC)

[modifica | modifica wikitesto]

Il Report on Compliance (ROC) viene redatto da un Qualified Security Assessor (QSA) certificato dal PCI SSC e ha lo scopo di fornire una convalida indipendente della conformità di un’entità al PCI DSS. Un ROC completo genera due documenti:

  1. ROC Reporting Template, contenente una spiegazione dettagliata dei test eseguiti.
  2. Attestation of Compliance (AOC), che documenta la conclusione del ROC e conferma la conformità complessiva.

Questionario di autovalutazione (SAQ)

[modifica | modifica wikitesto]

Il Self-Assessment Questionnaire (SAQ) è uno strumento di convalida pensato per commercianti e fornitori di servizi di piccole e medie dimensioni, per valutare autonomamente il proprio stato di conformità PCI DSS. Esistono diversi tipi di SAQ, ciascuno con lunghezza diversa a seconda del tipo di entità e del modello di pagamento utilizzato.

Ogni domanda SAQ richiede una risposta sì/no; eventuali risposte negative devono essere accompagnate da un piano di implementazione futura. Come per i ROC, viene redatto un AOC basato sul SAQ.

Valutatori della sicurezza

[modifica | modifica wikitesto]

Il PCI Security Standards Council gestisce un programma per certificare aziende e individui in grado di condurre valutazioni della sicurezza.

  • Qualified Security Assessor (QSA): individuo certificato per convalidare la conformità PCI DSS di altre entità. I QSA devono essere impiegati da una QSA Company, anch’essa certificata dal PCI SSC. [19][20]
  • Internal Security Assessor (ISA): individuo certificato per la propria organizzazione, in grado di condurre autovalutazioni PCI DSS interne. Il programma ISA supporta i commercianti di Merchant Level 2 nella conformità a Mastercard.[21] Gli ISA collaborano con i QSA e propongono soluzioni e controlli per garantire la conformità. [18]

Conformità vs. convalida della conformità

[modifica | modifica wikitesto]

Tutte le entità che elaborano, archiviano o trasmettono dati dei titolari di carta e/o dati sensibili di autenticazione devono implementare il PCI DSS. Tuttavia, la convalida formale della conformità non è obbligatoria per tutti.

  • Visa e Mastercard richiedono la convalida per commercianti e fornitori di servizi; Visa offre inoltre il Technology Innovation Program (TIP), un programma alternativo che permette ai commercianti qualificati di sospendere la valutazione annuale se adottano precauzioni alternative contro le frodi, come EMV o crittografia point-to-point.
  • Banche emittenti : non devono sottoporsi alla convalida, ma devono proteggere i dati sensibili in conformità al PCI DSS.
  • Acquiring bank: devono rispettare lo standard e far convalidare la propria conformità tramite audit.

In caso di violazione dei dati, le entità non conformi al momento della violazione possono essere soggette a sanzioni aggiuntive da parte dei circuiti di pagamento o delle acquiring bank.

Note

[modifica | modifica wikitesto]
  1. ^ a b pcisecuritystandards.org, https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf. URL consultato il 4 settembre 2018.
  2. ^ (EN) Ben Dwyer, What is the Visa Cardholder Information Security Program?, su CardFellow Credit Card Processing Blog, 21 luglio 2016. URL consultato l'11 gennaio 2024.
  3. ^ (EN) Data Security Operating Policy (PDF), su American Express, aprile 2021. URL consultato l'11 gennaio 2024.
  4. ^ credit card fraud, su britannica.com. URL consultato il 3 novembre 2025.
  5. ^ a b The History of PCI Compliance: How It Started and Where We're Headed, su merchantriskcouncil.org. URL consultato il 3 novembre 2025.
  6. ^ (EN) PCI Security Standards Council, https://www.pcisecuritystandards.org/about_us/. URL consultato il 15 dicembre 2022.
  7. ^ vol. 12, DOI:10.1109/SURV.2010.031810.00083, https://oadoi.org/10.1109%2FSURV.2010.031810.00083.
  8. ^ pcisecuritystandards.org, https://www.pcisecuritystandards.org/document_library. URL consultato il 12 novembre 2020.
  9. ^ (EN) Surkay Baykara, PCI DSS Requirement 8 Explained, su PCI DSS GUIDE, 7 aprile 2020. URL consultato l'11 gennaio 2024.
  10. ^ pcisecuritystandards.org, https://www.pcisecuritystandards.org/about_us/press_releases/pr_03312022. URL consultato l'8 aprile 2022.
  11. ^ Payment Card Industry Data Security Standard: Summary of Changes from PCI DSS Version 4.0 to 4.0.1. August 2024 (PDF), su docs-prv.pcisecuritystandards.org, PCI Security Standards Council, LLC. URL consultato il 31 dicembre 2024.
  12. ^ pcisecuritystandards.org, https://www.pcisecuritystandards.org/documents/PCI_DSS-QRG-v3_2_1.pdf?agreement=true. URL consultato il 12 novembre 2020.
  13. ^ (EN) on a need-to-know basis, su Cambridge Dictionary. URL consultato l'11 gennaio 2024.
  14. ^ Ossia l'intermediario tra un commerciante e un cliente durante la transazione digitale. [1]
  15. ^ pcisecuritystandards.org, https://www.pcisecuritystandards.org/. URL consultato il 21 febbraio 2007.
  16. ^ visaeurope.com, https://www.visaeurope.com/receiving-payments/security/merchants. URL consultato l'8 febbraio 2019.
  17. ^ mastercard.us, https://www.mastercard.us/en-us/merchants/safety-security/security-recommendations/merchants-need-to-know.html. URL consultato l'8 febbraio 2019.
  18. ^ a b "Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures Version 3.2" (PDF), su pcisecuritystandards.org. URL consultato il 4 settembre 2018 (archiviato dall'url originale il 19 luglio 2023).
  19. ^ listings.pcisecuritystandards.org, https://listings.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors. URL consultato il 18 maggio 2023.
  20. ^ docs-prv.pcisecuritystandards.org, https://docs-prv.pcisecuritystandards.org/Programs%20and%20Certification/Qualified%20Security%20Assessor%20(QSA)/QSA_Qualification_Requirements_v4.0.pdf[collegamento interrotto].
  21. ^ Copia archiviata, su FierceRetail. URL consultato il 26 marzo 2018 (archiviato dall'url originale il 17 maggio 2022).

Voci correlate

[modifica | modifica wikitesto]

Collegamenti esterni

[modifica | modifica wikitesto]
Estratto da "https://it.wikipedia.org/w/index.php?title=Payment_Card_Industry_Data_Security_Standard&oldid=147741214"