Conformità a PCI-DSS
Transcript
Conformità a PCI-DSS
Conformità a PCI-DSS Che cos’è la norma PCI-DSS? PCI-DSS è l’acronimo di Payment Card Industry - Data Security Standard. È, a tutti gli effetti, una norma internazionale di sicurezza creata da un consorzio formato dai principali operatori del settore carte di pagamento per ridurre i rischi di sicurezza legati agli esercenti, ai fornitori di servizi e ai clienti finali che utilizzano carte di pagamento. La norma si articola in una serie di requisiti di sicurezza afferenti agli ambienti in cui i dati delle carte sono elaborati, requisiti finalizzati a minimizzare le probabilità che si verifichino eventi dannosi e a contenerne le conseguenze. La sua impostazione è allineata con le best practice di settore. L’offerta di @ Mediaservice.net @ Mediaservice.net, sulla scorta della sua decennale esperienza in ambito di sicurezza, ha sviluppato un’offerta consulenziale completa per supportare qualsiasi azienda in ogni fase del percorso PCI-DSS, incentrata come sempre sulla crescita e sul successo del Cliente. Questo percorso inizia con la Gap Analysis, in cui si esaminano i flussi dei dati delle carte e si misura il grado di rispetto approfondito dei requisiti di PCI-DSS tramite verifiche e scansioni della stessa tipologia di quelle che verranno effettuate nella fase finale. A valle di questa analisi è quindi possibile stendere un Remediation Plan dettagliato che inquadra con precisione le singole azioni necessarie per raggiungere il pieno rispetto dei requisiti. Queste azioni possono essere condotte internamente o con il supporto degli specialisti di @ Mediaservice. net (v. servizi opzionali). L’effettuazione di una Scansione e l’Audit finale validano l’esecuzione del Remediation Plan e permettono di affrontare la fase di Reporting, che comprende la stesura della documentazione ufficiale necessaria per la dichiarazione finale di conformità. Queste ultime attività, anche acquistabili separatamente dalle prime due, devono poi essere ripetute periodicamente per il mantenimento della certificazione stessa e sono condotte sulla base di metodologie consolidate in anni di applicazioni e universalmente riconosciute dal mercato. A chi interessa la norma PCI-DSS Lo standard è rivolto a chiunque tratti i dati delle carte di pagamento, ossia principalmente: • Commercianti • Banche (Issuer e Acquirer) • Service Provider I requisiti devono essere applicati allo stesso modo da ognuno di questi attori, indipendentemente dalla loro dimensione. Requisiti di PCI-DSS • Costruire e mantenere una rete protetta • Proteggere i dati dei titolari delle carte • Rispettare un programma per la gestione delle vulnerabilità • Implementare misure forti per il controllo dell’accesso • Monitorare e testare le reti con regolarità • Adottare una Politica di Sicurezza. Chi ha creato la norma PCI-DSS Il PCI-SSC (Security Standards Council) è formato dai seguenti operatori di settore: • • • • • VISA Inc. Mastercard Worldwide JCB International American Express Discover Financial Services Valore aggiunto • Ridurre i rischi legati al trattamento di dati delle carte di pagamento • Ridurre i costi degli incidenti di sicurezza • Aumentare il livello di sicurezza e la confidenza di utenti e partner • Anticipare richieste di conformità ed evitare sanzioni. Riferimenti operativi Oltre alla norma PCI-DSS, nella sua ultima versione (attualmente 2.0), e ai documenti correlati @ Mediaservice.net fa un forte riferimento alle metodologie della famiglia ISO/IEC 27000 e a quelle aperte OSSTMM e OWASP, di particolare rilevanza per dare valore aggiunto in questo contesto. Riferimenti e Partnership @ Mediaservice.net, grazie alla sua decennale esperienza nel campo della sicurezza, può supportare in modo unico l’esecuzione di ogni progetto, basandosi su metodologie e standard internazionali riconosciuti, quali: • • • • • Servizi Opzionali @ Mediaservice.net prevede, oltre al supporto previsto dallo schema nella pagina precedente, la possibilità di eseguire attività volte a massimizzare la qualità del lavoro o ad assistere il Cliente nell’esecuzione del Remediation Plan, tra cui: • stesura o aggiornamento dei piani, delle politiche e delle procedure richieste; • conduzione o estensione del Risk Assessment; • esecuzione di verifiche tecnologiche (e.g. Penetration Test, Wireless Scan) o IT Audit anche al di fuori dell’ambiente delle carte di pagamento; • approfondimento di verifiche tecnologiche specifiche (e.g. revisione del codice); • affiancamento del comparto IT nella progettazione e implementazione di quanto previsto nella parte tecnica del Remediation Plan; • formazione specifica delle risorse professionali del Cliente; • inserimento del contesto PCI-DSS in un più ampio framework per la Gestione della Sicurezza delle Informazioni conforme alla ISO/IEC 27001:2005. ISO/IEC 27001 OSSTMM OWASP ITIL COBIT @ Mediaservice.net può vantare inoltre conoscenze acquisite attraverso partnership strategiche con le principali associazioni professionali e con i centri di competenza nazionali e internazionali. Settori merceologici @ Mediaservice.net opera con successo nell’erogazione della propria offerta di servizi consulenziali in diversi settori merceologici. Di seguito sono citati alcuni esempi reali ma anonimizzati dell’esperienza maturata in materia: Finanza Supporto e verifica della conformità PCI-DSS per importanti istituti bancari Servizi IT Supporto e verifica delle conformità PCI-DSS per un service provider Vendita online Supporto e verifica della conformità PCI-DSS per diversi online shop Turismo Supporto e verifica della conformità PCI-DSS per società di turismo @ Mediaservice.net S.r.l. Via Santorelli, 15 - 10095 Grugliasco (TO) Tel +39 011-3272100 - Fax +39 011-3246497 [email protected] - www.mediaservice.net