La sicurezza sta diventando sempre più rilevante, soprattutto in campo finanziario, principalmente a causa della sempre maggiore diffusione delle transazioni via Internet, a diversi livelli. Per ragioni meramente statistiche, una maggiore esposizione significa maggiori rischi. Inoltre, l’affermarsi di operatori di terze parti ha aumentato la disponibilità dei circuiti bancari e di pagamento per le aziende, moltiplicando ulteriormente le opportunità di utilizzo. La PCI-DSS compliance diventa quindi necessaria per la sicurezza ancora prima di essere un adempimento normativo per le aziende che accettano pagamenti con le carte di credito.
Gli standard PCI-DSS nascono nel 2006 quando i principali gestori di carte di credito hanno creato un ente responsabile degli standard di protezione, il Payment Card Industry Security Standards Council, dal quale poi è scaturito uno standard di protezione universale, il PCI Data Security Standard o PCI DSS. Come è facile intuire, dal momento che si tratta di gestione di dati finanziari, si tratta di uno standard particolarmente articolato: consideriamo che la sola quick reference prevede 12 punti in un documento di circa 40 pagine.
Una complessità resa necessaria sia per garantire la sicurezza intrinseca dell’ecosistema, sia per garantire una resilienza sempre più necessaria nello scenario globale della sicurezza.
Per maggiore chiarezza, riportiamo qui i dodici punti di cui sopra che permettono di avere un quadro più chiaro del livello di attenzione necessario:
- Installare e mantenere un sistema firewall per la protezione dei dati;
- Non utilizzare valori di default del fornitore per password sistema e altri parametri di sicurezza
- Proteggere i dati dei titolari di carta memorizzati
- Applicare crittografia alle trasmissioni dei dati dei titolari di carta su reti aperte e pubbliche
- Utilizzare e aggiornare regolarmente software antivirus o programmi anti-malware
- Sviluppare e mantenere sistemi e applicazioni sicuri
- Limitare l’accesso ai dati dei titolari di carta solo a chi ha necessità di conoscerli
- Identificare e autenticare l’accesso agli utenti ai componenti di sistema
- Limitare l’accesso fisico ai dati dei titolari di carta
- Monitorare e tracciare ogni accesso a risorse di rete e dati dei titolari di carta
- Testare regolarmente i sistemi e i processi di sicurezza
- Gestire e aggiornare policy che affrontino la sicurezza delle informazioni per tutto il personale
Per affrontare correttamente la PCI-DSS compliance occorre, insomma, applicare sia alcune buone pratiche comuni a tutti i sistemi informativi, per esempio bandire l’uso delle configurazioni di default e applicare sistemi di crittografia avanzata alle comunicazioni, sia alcuni accorgimenti specifici. Appare inoltre evidente come il sistema incentivi in modo esplicito il monitoraggio e il miglioramento continuo, indispensabili in un contesto in cui la cybersecurity evolve in modo estremamente rapido.
Le aziende che affrontano un percorso di certificazione per la PCI-DSS Compliance devono quindi avviare un percorso di verifica e miglioramento, necessario per contenere al massimo le risorse e l’effort necessari per ottenerla. Ecco alcuni dei passaggi chiave.
I dodici punti cardine sopra elencati, o PCI Certification Standard definiscono il perimetro degli adempimenti necessari. Conoscerli e fare in modo che diventino parte della cultura aziendale è il primo e fondamentale passaggio per approcciare questa attività correttamente.
La PCI DSS Compliance non è un concetto monolitico: varia infatti in base al volume di transazioni processate su base annuale. Sono previsti quattro livelli:
La principale differenza consiste nella necessità, per la fascia più alta, di creare annualmente un report di compliance stilato da un operatore certificato, mentre per gli altri tre è sufficiente compilare un Questionario di self-assessment. Rimangono invece, almeno a livello di raccomandazione per i livelli più bassi, sia la scansione trimestrale dei sistemi effettuata da un vendor certificato e l’Annual Attestation of Compliance.
Operazioni di elevata complessità richiedono una particolare attenzione alla fase preparatoria. In questa fase sono particolarmente importanti le misurazioni, in particolare gli audit di sicurezza e i Security Assessment, fondamentali per identificare e prepararsi a sanare rischi e vulnerabilità nei sistemi di pagamento.
Questi assessment, infatti, sono necessari sia per stabilire procedure e policy utili a soddisfare gli standard di sicurezza richiesti, sia per effettuare una Gap analysis, attraverso la quale stabilire poi i piani di remediation necessari per rendere l’azienda conforme agli standard PCI-DSS. Ricordiamo che gli Audit, così come gli aggiornamenti tecnici e procedurali, sono un requisito periodico della normativa. Gli assessment preliminari saranno dunque utili anche per identificare le modalità più efficaci ed efficienti per reiterarli nel tempo.
Una volta che l’azienda ha terminato gli assessment preparatori, e ha definito le remediation necessarie, può avviarsi alla fase successiva, la realizzazione della documentazione necessaria. Per il livello più elevato occorre compilare il già citato Report of Compliance, mentre per gli altri tre si tratta del Self-Assessment Questionnarie, oltre all’Attestation of Compliance necessaria per tutti i livelli.
Da questo breve elenco di adempimenti necessari risulta evidente come i test di sicurezza svolgono un ruolo fondamentale all’interno della PCI DSS Compliance: sia in fase preliminare, dove sono il prerequisito per attivare tutti i processi tecnici e organizzativi necessari a ottenere la certificazione, sia nelle fasi successive in cui lo standard richiede di conservare valida la sicurezza nel tempo. Prevedere un ciclo periodico di controlli, attraverso un partner che conosca a fondo sia il tema della sicurezza bancaria sia le principali criticità della cybersecurity, permette all’azienda di conservare la propria conformità nel tempo con il minimo sforzo.
