Presentazione standard di PowerPoint

PCI DSS
ISTRUZIONI OPERATIVE
ver febbraio 2014
COS’E’ IL PCI SSC (SECURITY STANDARD COUNCIL)
L'organizzazione è stata fondata da Visa, Inc., MasterCard Worldwide, American Express,
Discover Financial Services e JCB International. E’ un organismo indipendente che supervisiona
lo sviluppo e la gestione degli standard industriali di sicurezza a livello globale relativi al settore
delle carte di pagamento.
PCI Council svolge la propria missione attraverso :
 miglioramento della conoscenza degli standard di sicurezza
RISORSE
 erogazione di formazione appropriata
EVOLUZIONE
2004
A Dicembre viene pubblicata la versione
1.0 della PCI-DSS, gestita da VISA e
MasterCard
2006
VISA, MasterCard, American Express,
Discover e JCB fondano il PCI-SSC
pubblicando la versione 1.1 della PCIDSS e la versione 1.0 della PA-DSS
2008
E’ resa pubblica la versione 1.2 della
PCI-DSS
2010
Sono pubblicate la versione 2.0 della
PCI-DSS, la versione 1.0 della PCI-PTS
e la versione 2.0 della PA-DSS
2013
A Novembre viene pubblicata la
versione 3.0 della PCI-DSS, gestita da
VISA e MasterCard
PCI DSS, PCI PTS, PCI PA-DSS, P2PE, PIN
Security and supporting documents
Roaster of QSAs, ASVs, PA-QSAs,
validated payment applications, PTS
Devices, and P2PE solutions
PCI Security Standards Council FAQs
Education & Outreach programs
Participating Organization membership,
Community Meetings, Feedback
RUOLI E RESPONSABILITA’ DEL COUNCIL
 Definire e aggiornare gli standard (PCI DSS, PA-DSS, PTS, P2PE e PIN Security
Standard) e la documentazione di supporto;
 Definisce e implementa i requisiti di validazione per certificare il personale
specialistico: QSA – PA-QSA, ASV e ISA;
 Approva le organizzazioni e il personale abilitato ad eseguire gli assessment
(PCI-DSS e PA-DSS) e le scansioni (ASV);
 Pubblica, sul proprio sito, la lista delle società QSA, PA-QSA e ASV;
 Mantiene una lista delle applicazioni validate
 Mantiene una lista dei dispositivi approvati secondo lo standard PIN Transaction;
 Mantiene una lista delle soluzioni conformi allo standard P2PE
 Verifica con un processo di Quality Assurance i report ricevuti per le fasi di
certificazione (ROCs, ROVs, ASV scan report);
 Offre i processi di formazione per i QSA, PA-QSA, ASV e ISA
 Fornisce indicazioni e linee guida su tecnologie specifiche;
 Promuove a livello globale la conoscenza degli standard
AMBITI DI APPLICAZIONE
Gli standard di sicurezza PCI DSS si applicano a tutte le organizzazioni che
 memorizzano
 processano
 trasmettono
dati dei titolari di carte di pagamento
Tali standard si applicano a tutti i ‘componenti si sistema’, che vengono definiti
come qualsiasi componente di rete, server o applicazione incluso o connesso
all’ambiente dei dati dei titolari di carta, che è costituito dalla parte di rete che
contiene i dati sensibili
La segmentazione della rete non è un requisito PCI DSS, tuttavia un’adeguata
segmentazione della rete (nota con il nome di rete semplice) consente di
escludere dalla valutazione PCI DSS le parti della rete non coinvolte nella gestione
dei dati sensibili
APPLICABILITA’ E DATI
Lo standard PCI DSS si applica sempre dove I dati vengono salvati, trasmessi o elaborati. I dati
consistono nei dati più sensibili del titolare, che sono di seguito indicati.
I DATI DEI TITOLARI DI CARTA COMPRENDONO:
I DATI SENSIBILI DI AUTENTICAZIONE
PAN (Primary Account Number)
Dati completi della striscia magnetica o equivalenti
sul chip
Nome titolare di carta
Data di scadenza
CAV2/CVC2/CVV2/CID
Codice di servizio
PIN/Blocchi PIN
Il PAN costituisce il fattore determinante nell'applicabilità dei requisiti PCI DSS. Gli standard
PCI DSS sono applicabili se viene memorizzato, elaborato o trasmesso un PAN (Primary
Account Number, numero account primario). Se il PAN non viene memorizzato, elaborato o
trasmesso, i requisiti PCI DSS non sono validi.
ECOSISTEMA DEGLI STANDARD & RELAZIONI
PCI-PTS si applica ai dispositivi POS, Pin Pad, HSM, UPT; lo standard definisce i requisiti per la
rilevazione delle manomissioni, i processi crittografici e in generale tutti i requisiti necessari per
proteggere il PIN (cifrato) che viene passato dalle applicazioni di pagamento o dai terminali
hardware.
PCI PA-DSS si applica alle applicazioni commerciali sviluppate da terze parti che gestiscono i
processi di autorizzazione e/o settlement delle transazioni (POS, shopping carts, ecc).
PCI-DSS applicabile ai soggetti che trattano dati delle carte dei Brand, se legata agli altri
standard si limita a controllarne il corretto impiego. Lo standard definisce tutti i requisiti necessari
alla protezione di tutte le componenti di sistema inclusi o connessi all’ambiente dei titolari carta
(Cardholder Date Environemnt – CDE).
PCI P2PE si applica ai processi di encryption, decryption e gestione delle chiave crittografiche
tra apparati sicuri (hardware to hardware).
P2PE
CICLO DI VITA DEGLI STANDARD PCI DSS
Gli standard PCIDSS e PA-DSS
sono regolarmente
aggiornati e
sottoposti a revisioni
e commenti che
prevede un ciclo di
36 mesi. La
versione dello
standard PCI-DSS
attualmente in corso
di validità è la 2.0,
emessa nel 2010.
https://www.pcisecuritystandards.org/documents/pci_lifecycle_for_changes_to_dss_and_padss.pdf
CICLO DI VITA DEGLI STANDARD PCI DSS
PCI DSS è un processo in continua evoluzione che
prevede :

individuazione dei gap rispetto ai requisiti
(assessment)

azioni per superare i gap individuati
(remediation)*

verifica della realizzazione delle azioni
(reporting)
Il mancato adeguamento ai requisiti dello standard comporta l’adozione di penali in
capo al merchant, e in caso di compromissione dei dati di carta le penali vengono
calcolate in relazione al numero di carte compromesse.
* Fra le azioni si ricomprende la stesura della normativa interna
COME CERTIFICARSI
Per raggiungere la Compliance è necessario :

compilare il SAQ (Self-Assessment Questionnaire)

individuare i gap e, se presenti, e definire conseguentemente un piano
di rimedio*

realizzare le azioni previste nel piano di rimedio

far compilare il ROC (Request of Compliance) da parte di un QSA** solo per esercenti classificati al livello 1

presentare la documentazione a PCI Council ***
* PCI Council mette a disposizione un documento - Prioritized Approach for PCI DSS Version 2.0 - per agevolare il
merchant ad individuare gli eventuali GAP e stabilire un ordine di priorità nel porre in essere i piani di rimedio
** Qualified Security Assessor : in realtà il ROC può essere compilato anche da qualcun altro, tuttavia solo i QSA che
hanno seguito il corso di PCI Council sono in grado di compilare il ROC correttamente
*** Fra la documentazione è richiesto anche l’esito di uno scan della rete da parte di ASV (Approved Scan Vendor)
CLASSIFICAZIONE DEI MERCHANT
I merchant vengono classificati in base al numero di transazione annue eseguite per singolo brand
Level
/Tier
Merchant criteria
1
Esercenti che processano più di 6 milioni di
transazioni di carte Visa per anno (su tutti i
canali*) o esercenti multinazionali che sono
identificati di livello 1 in un’altra nazione**
 ROC (Report Of Compliance) annuale
 on site audit ***
 scan trimestrale da parte di un ASV**** certificato
 Modulo di attestazione di Compliance
2
Esercenti che processano fra 1 milione e 6
milioni di transazioni di carte Visa per anno
(su tutti i canali*)
 SAQ (Self-Assessment Questionnaire)
 scan trimestrale da parte di un ASV**** certificato
 Modulo di attestazione di Compliance
3
Esercenti che processano fra 20.000 e 1
milione di transazioni di carte Visa per anno
(e-commerce)
 SAQ (Self-Assessment Questionnaire)
 scan trimestrale da parte di un ASV**** certificato
 Modulo di attestazione di Compliance
4
Tutti gli altri esercenti che non rientrano
nelle precedenti categorie
 SAQ (raccomandato, non obbligatorio)
 scan trimestrale da parte di un ASV**** certificato,
se applicabile
 Requisiti di Compliance stabiliti dall’Acquirer
Validation Requirements
* Per canali si intendono POS fisici e virtuali
** L’altra nazione deve essere all’interno di Visa Europe
*** Fatto da un QSA certificato o da una risorsa interna qualificata (da comunicare prima a Visa)
**** ASV : Approved Scan Vendor
REQUISITI DI PCI-DSS
PRO E CONTRO DI PCI-DSS
Vantaggi
• Opportunità per
focalizzarsi sulla sicurezza
• Allineata alle best
practices di sicurezza
• Possibilità di ottenere
migliori condizioni dagli
Acquirer
• Ritorno di immagine verso
i Clienti (finali e non)
Svantaggi
• Necessità di adeguamento
costante ai livelli di
sicurezza;
• Investimenti aggiuntivi per
l’azienda
• Possibilità di ricevere
sanzioni dai Brand
PER SAPERNE DI PIU’
Per maggiori informazioni, visita i siti :






PCI COUNCIL
AMERICAN EXPRESS
DISCOVER FINANCIAL SERVICES
JCB INTERNATIONAL
MASTERCARD
VISA