Conformità a PCI-DSS

Conformità a PCI-DSS
Che cos’è la norma PCI-DSS?
PCI-DSS è l’acronimo di Payment Card Industry - Data Security Standard.
È, a tutti gli effetti, una norma internazionale di sicurezza creata da
un consorzio formato dai principali operatori del settore carte di pagamento
per ridurre i rischi di sicurezza legati agli esercenti, ai fornitori di servizi
e ai clienti finali che utilizzano carte di pagamento.
La norma si articola in una serie di requisiti di sicurezza afferenti agli ambienti
in cui i dati delle carte sono elaborati, requisiti finalizzati a minimizzare
le probabilità che si verifichino eventi dannosi e a contenerne le conseguenze.
La sua impostazione è allineata con le best practice di settore.
L’offerta di @ Mediaservice.net
@ Mediaservice.net, sulla scorta della sua decennale esperienza in ambito
di sicurezza, ha sviluppato un’offerta consulenziale completa per supportare
qualsiasi azienda in ogni fase del percorso PCI-DSS, incentrata come sempre
sulla crescita e sul successo del Cliente. Questo percorso inizia con la Gap
Analysis, in cui si esaminano i flussi dei dati delle carte e si misura il grado
di rispetto approfondito dei requisiti di PCI-DSS tramite verifiche e scansioni
della stessa tipologia di quelle che verranno effettuate nella fase finale.
A valle di questa analisi è quindi possibile stendere un Remediation Plan
dettagliato che inquadra con precisione le singole azioni necessarie per
raggiungere il pieno rispetto dei requisiti. Queste azioni possono essere
condotte internamente o con il supporto degli specialisti di @ Mediaservice.
net (v. servizi opzionali).
L’effettuazione di una Scansione e l’Audit finale validano l’esecuzione
del Remediation Plan e permettono di affrontare la fase di Reporting, che
comprende la stesura della documentazione ufficiale necessaria per la
dichiarazione finale di conformità.
Queste ultime attività, anche acquistabili separatamente dalle prime due,
devono poi essere ripetute periodicamente per il mantenimento della
certificazione stessa e sono condotte sulla base di metodologie consolidate
in anni di applicazioni e universalmente riconosciute dal mercato.
A chi interessa la norma
PCI-DSS
Lo standard è rivolto a chiunque
tratti i dati delle carte di
pagamento, ossia principalmente:
• Commercianti
• Banche (Issuer e Acquirer)
• Service Provider
I requisiti devono essere applicati
allo stesso modo da ognuno di
questi attori, indipendentemente
dalla loro dimensione.
Requisiti di PCI-DSS
• Costruire e mantenere una rete
protetta
• Proteggere i dati dei titolari delle
carte
• Rispettare un programma per la
gestione delle vulnerabilità
• Implementare misure forti per il
controllo dell’accesso
• Monitorare e testare le reti con
regolarità
• Adottare una Politica di
Sicurezza.
Chi ha creato la norma
PCI-DSS
Il PCI-SSC (Security Standards
Council) è formato dai seguenti
operatori di settore:
•
•
•
•
•
VISA Inc.
Mastercard Worldwide
JCB International
American Express
Discover Financial Services
Valore aggiunto
• Ridurre i rischi legati al
trattamento di dati delle carte di
pagamento
• Ridurre i costi degli incidenti di
sicurezza
• Aumentare il livello di sicurezza e
la confidenza di utenti e partner
• Anticipare richieste di conformità
ed evitare sanzioni.
Riferimenti operativi
Oltre alla norma PCI-DSS, nella sua ultima versione (attualmente 2.0),
e ai documenti correlati @ 
Mediaservice.net fa un forte riferimento
alle metodologie della famiglia ISO/IEC 27000 e a quelle aperte OSSTMM
e OWASP, di particolare rilevanza per dare valore aggiunto in questo contesto.
Riferimenti e Partnership
@ Mediaservice.net, grazie
alla sua decennale esperienza
nel campo della sicurezza,
può supportare in modo unico
l’esecuzione di ogni progetto,
basandosi su metodologie
e standard internazionali
riconosciuti, quali:
•
•
•
•
•
Servizi Opzionali
@ 
Mediaservice.net prevede, oltre al supporto previsto dallo schema
nella pagina precedente, la possibilità di eseguire attività volte a massimizzare
la qualità del lavoro o ad assistere il Cliente nell’esecuzione del Remediation
Plan, tra cui:
• stesura o aggiornamento dei piani, delle politiche e delle procedure richieste;
• conduzione o estensione del Risk Assessment;
• esecuzione di verifiche tecnologiche (e.g. Penetration Test, Wireless Scan)
o IT Audit anche al di fuori dell’ambiente delle carte di pagamento;
• approfondimento di verifiche tecnologiche specifiche (e.g. revisione
del codice);
• affiancamento del comparto IT nella progettazione e implementazione di
quanto previsto nella parte tecnica del Remediation Plan;
• formazione specifica delle risorse professionali del Cliente;
• inserimento del contesto PCI-DSS in un più ampio framework per la Gestione
della Sicurezza delle Informazioni conforme alla ISO/IEC 27001:2005.
ISO/IEC 27001
OSSTMM
OWASP
ITIL
COBIT
@ Mediaservice.net può
vantare inoltre conoscenze
acquisite attraverso
partnership strategiche
con le principali associazioni
professionali e con i centri
di competenza nazionali e
internazionali.
Settori merceologici
@ Mediaservice.net opera con successo nell’erogazione della propria offerta di servizi consulenziali in diversi settori merceologici.
Di seguito sono citati alcuni esempi reali ma anonimizzati dell’esperienza maturata in materia:
Finanza
Supporto e verifica della conformità PCI-DSS per importanti istituti bancari
Servizi IT
Supporto e verifica delle conformità PCI-DSS per un service provider
Vendita online
Supporto e verifica della conformità PCI-DSS per diversi online shop
Turismo
Supporto e verifica della conformità PCI-DSS per società di turismo
@
Mediaservice.net
S.r.l.
Via Santorelli, 15 - 10095 Grugliasco (TO)
Tel +39 011-3272100 - Fax +39 011-3246497
[email protected] - www.mediaservice.net