Cos'è il PCI DSS

Una breve panoramica su quello che è il PCI DSS: una normativa sotto la forma di linee guida che definisce le misure minime di sicurezza per quelle Aziende che trattano i dati di carte di credito.

Il PCI è un forum globale avviato nel 2006 responsabile per lo sviluppo, la gestione, l’educazione e l’informazione degli standard PCI, che tra gli altri comprendono appunto il DSS. I cinque brand di riferimento fondatori del Consiglio – American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc. – hanno concordato di incorporare il PCI DSS come il requisito tecnico minimo di ciascuno dei rispettivi programmi di conformità per la sicurezza dei dati. Attualmente è in fase di lavorazione pre-rilascio della versione 3.0 del PCI DSS, già chiuso e riassunto durante il summit tenutosi a Las Vegas lo scorso 26 Settembre.

L’obiettivo del “Payment Card Industry – Data Security Standard” (PCI DSS) è quello di definire un insieme di regole e linee guida per una gestione sicura dei dati dei titolari di carte di credito e di debito.

La norma è stata definita e pubblicata la prima volta nell’anno 2007 e definisce gli elementi tecnici e procedurali minimi a cui i venditori (“Merchant”) che conservano e/o trattano il dato del titolare di una carta di credito devono sottostare. In caso di non conformità a queste norme può tramutarsi in gravi sanzioni amministrative in caso di violazione del dato, furto o danno accidentale. Visa, per esempio, ha annunciato che sanzionerà gli istituti bancari che processano transazioni di pagamento con multe che andranno da 5.000 USD a 25.000 USD al mese per quegli istituti classificati come Merchant di livello 1 e 2 (ossia quelli che processano più di 1.000.000 di transazioni all’anno). Sono ancora più incisive le sanzioni previste per le Aziende private che possono arrivare anche fino a 500.000 USD, per non parlare di ripercussioni civili che tipicamente sovrastano tale cifra, oltre ad una grave penalizzazione nel processo di riaccreditamento della certificazione, o addirittura un periodo di disapprovazione del trattamento del numero di carta (“blacklisting”)

Gli operatori e i fornitori di servizio (Merchant) che gestiscono salvando, temporaneamente o a tempo prolungato, i dati di carta di credito (“cardholder data”) sono tenuti a certificare il proprio Sistema Informativo secondo i requisiti minimi definiti dal PCI DSS ed in base al numero di transazioni effettuate nell’arco di ogni anno. I Merchant sono suddivisi in quattro categorie, di cui quella più elevata (Livello 1) ha i requisiti più stringenti in termini di periodicità dei controlli e delle verifiche:

1. Rientrano nel Livello 1:
   1. Tutti i Merchant che processano oltre 6.000.000 di transazioni all’anno
   2. Tutti i Merchant che sono stati vittima di un attacco informatico che ha portato ad un furto di dati
   3. Qualsiasi Merchant che sia classificato di Livello 1 dal Consorzio PCI per minimizzare i rischi che gravano sui dati dei titolari
2. Qualsiasi Merchant che processa tra il 1.000.000 e i 6.000.000 di transazioni all’anno
3. Qualsiasi Merchant che processa tra i 20.000 e il 1.000.000 di transazioni all’anno
4. Qualsiasi Merchant che processa meno di 20.000 di transazioni all’anno, e tutti gli altri Merchant che processano un massimo di 1.000.000 di transazioni l’anno a prescindere dal canale di accettazione

Questo comporta che tutte quelle Aziende che dispongono di un sistema di pagamento collegato ad una rete LAN o che ricevono e conservano attraverso strumenti Informatici dei dati di Carta di Credito, sono soggetti a questa regolamentazione. Basti pensare alle strutture alberghiere che possono ricevere i dati di carta a mezzo FAX, E-Mail o tramite un sito Internet di terze parti o come i punti vendita che hanno sistemi POS collegati alla rete.

Tutte le categorie di Merchant fanno riferimento ad questionario suddiviso in 12 “requisiti”, uno per ogni obiettivo di sicurezza, e che comprendono:

• Realizzazione e Gestione di una Rete Sicura
• Protezione dei Dati dei Titolari di Carta
• Manutenzione di un Procedimento di Gestione delle Vulnerabilità
• Implementazione di Misure di Controllo Accessi Restrittive
• Monitoraggio e Verifica Periodica delle Reti
• Gestione di una Politica di Sicurezza dell’Informazione

In base al livello del Merchant varia, invece, la frequenza delle verifiche e dei controlli che devono essere svolte nel corso dell’anno a conferma dell’adozione corretta delle procedure.

Le Aziende che gestiscono meno di 6.000.000 di transazioni nell’arco dell’anno possono raggiungere la conformità al PCI DSS effettuando le seguenti operazioni:

• Autocertificazione della propria struttura predisponendo un questionario strutturato;
• Effettuando un test della struttura di sicurezza informatica effettuata da una società certificata PCI DSS con cadenza trimestrale (PCI Approved Scanning Vendor)

Il prodotto che certifica il Sistema PCI DSS

Parlando della certificazione PCI DSS, o la sua conformità, non esiste al mondo un prodotto che racchiuda la soluzione e certifichi la rete. Le linee guida definite nel DSS sono un insieme di procedure operative assieme a elementi tecnici che devono essere combinati opportunamente al fine di ottenere il risultato sperato. Altrettanto il questionario non è la panacea in grado di difendere l’Azienda che lo ha compilato da eventuali problemi: assieme a tale questionario è necessario redigere un documento interno sulla struttura dei Sistemi Informativi, della rete dell’Azienda, delle procedure di gestione degli elementi di sicurezza come Antivirus, aggiornamenti software, e accesso al sistema. In caso di contenzioso le autorità preposte richiederanno l’intera documentazione revisionata, al fine di verificare l’idoneità dei sistemi ai requisiti minimi e determinare se la natura del problema sia effettivamente dovuta al Sistema Informativo dell’Azienda colpita dal problema o meno.

Esistono, invece, prodotti che possono aiutare il raggiungimento della conformità grazie a meccanismi preimpostati che rispondono già a tali requisiti. Un esempio, per me, è indubbiamente la famiglia di prodotti XTM di Watchguard, che dispone di una serie di funzionalità interne che consentono il raggiungimento di un consistente numero di requisiti dei vari questionari. Uniti ad una conoscenza approfondita del modello di business delle varie Aziende che intendono ottenere suddetta conformità, è possibile raggiungere l’obiettivo con un impegno ridotto, grazie ad una precisa identificazione dei punti vulnerabili e all’adozione di misure specifiche proprio in quei punti come, per fare un altro esempio, quello di intecettare delle e-mail ed adottare misure di cifratura di tali messaggi per proteggerne il contenuto appena queste arrivano.

La protezione dei dati informatici, come in generale la Sicurezza, non è mai un prodotto fatto e finito, bensì prima di tutto un processo ed una metodologia di lavoro. Tale processo può essere introdotto in modo traumatico con una serie di regole e procedure rigide imposte senza possibilità di contraddizione, come talvolta accade, oppure in modo progressivo introducendo la cultura della sicurezza in tutto il personale dell’Azienda attraverso una costante formazione e sua evangelizzazione. Entrambi i metodi sono difficili, non c’è una soluzione che, al pari del prodotto, risolva problema e renda l’azienda “sicura”. Esiste tuttavia la possibilità di raggiungere dei livelli di sicurezza che tendono ai livelli prefissati adottando soluzioni efficienti che operano in modo autonomo e quasi trasparente per gli utenti, spostando l’ago della bilancia in favore del business delle singole Aziende anzichè nell’adozione di complesse misure di sicurezza e tecnicismi da far gestire all’utente finale.

Per concludere è interessante notare una cosa relativa alla documentazione da corredare al questionario di valutazione. La manualistica operativa del Sistema Informativo Aziendale comprensiva di schemi di rete, un documento di definizione dei rischi, delle procedure operative e delle contromisure minime di sicurezza adottate rappresentano anche la documentazione che dovrebbe essere redatta dalle Aziende in ausilio al DPS (Documento Programmatico per la Sicurezza), oltre che rappresentare parte della documentazione per certificazioni di altra natura (es. il ISMS della ISO27001, normativa di gestione dei Sistemi Informativi della Banca d’Italia, ecc.). Risulta chiaro che il mantenimento, od ottenimento da parte del proprio gestore di servizi IT, della documentazione aggiornata relativa ai propri Sistemi Informativi non solo garantisce all’Azienda la conoscenza dello stato dell’arte dei propri sistemi, ma consente anche un più rapido e, se vogliamo, elegante metodo di raggiungimento di obiettivi più ampi e più a lungo termine.

Note tecniche di servizio

Lo studio ed approfondimento dell'ambito PCI DSS e delle regolamentazioni in materia di sicurezza del dato del titolare di carta di credito nasce da precedenti esperienze lavorative. L'interesse sviluppato attualmente si è evoluto nella formulazione e realizzazione di servizi di Consulenza e affiancamento nel processo di adempimento alla conformità della regolamentazione PCI DSS. Per maggiori informazioni è possibile visitare il sito Internet della nostra struttura - NetGang.