Guida per i Commercianti

Transcript

1 Account Information Security (Protezione dei Dati dei Clienti) Implementazione del programma Payment Card Industry Data Security Standards (PCI DSS) Guida per i Commercianti Argomenti Prossimo Chiudi

2 Indice 1.0 Premessa Protezione dei dati del cliente Cosa sono i Payment Card Industry Data Security Standard? A chi si applicano? I vantaggi per la vostra attività Comprendere la procedura di implementazione Supportare l implementazione da parte della vostra attività Panoramica della procedura di implementazione Fase uno: Acquisire familiarità con i Payment Card Industry 09 Data Security Standard 4.0 Fase due: Identificare il flusso dei dati nell ambito della vostra attività Fase tre: Controllare e monitorare la posizione dei vostri fornitori 13 di servizi 5.1 Sostenere i vostri fornitori di servizi nella procedura di implementazione Certificazione per i fornitori di servizi Implementazione di una soluzione conforme allo standard Fase quattro: Determinare le non-conformità e pianificare 16 gli interventi correttivi 7.0 Fase cinque: Selezionare la vostra opzione di accreditamento L audit annuale on-site Il Vulnerability Scan trimestrale Il Questionario di Autovalutazione annuale Fase sei: Pianificazione e attuazione degli interventi correttivi Fase sette: Certificazione Mantenimento nel tempo della conformità ai requisiti di certificazione Il nostro supporto 28

3 1.0 Premessa 1.1 Protezione dei dati del cliente 1.2 Cosa sono i Payment Card Industry Data Security Standard? 1.3 A chi si applicano? 1.4 I vantaggi per la vostra attività 01

4 1.0 Premessa 1.1 Protezione dei dati del cliente La sicurezza dei dati dei titolari di carte di pagamento è diventata un problema di cruciale importanza a livello internazionale, per gli istituti di credito che offrono servizi basati su carte di pagamento oltre che per gli esercizi commerciali che le accettano e, naturalmente, per gli stessi clienti che le utilizzano. In molti paesi del mondo si sono verificati casi di pirateria informatica ai danni di sistemi computerizzati, con il conseguente furto dei dati personali dei titolari di carte di pagamento e il loro utilizzo a scopo di frode. In molti casi, i sistemi computerizzati violati sono quelli di commercianti che accettano le carte di pagamento o di fornitori di servizi che effettuano il trattamento dei dati per conto dei commercianti. In risposta Visa ha collaborato con MasterCard per la creazione del programma Payment Card Industry Data Security Standards (PCI DSS). Si tratta di un insieme di requisiti e procedure a generale diffusione nel sistema delle carte di pagamento, sostenuto da tutti i maggiori circuiti internazionali operanti in tale settore. Account Information Security (AIS) è la denominazione data da Visa al proprio programma di certificazione PCI DSS. Ogni attività che accetti carte di pagamento può trarre vantaggi dalla conformità ai PCI DSS, tutelando i propri clienti e salvaguardando la propria reputazione commerciale. Visa assicura tutta la sua collaborazione. Abbiamo creato un complesso di strumenti e risorse per rendere il più possibile agevole l implementazione del sistema PCI DSS. Implementando questi standard conseguirete la conformità al nostro programma AIS, soddisfacendo così automaticamente i requisiti e le raccomandazioni dei principali circuiti di carte di pagamento. La presente guida fornisce ulteriori informazioni rispetto a questa procedura. 02

5 1.2 Cosa sono i Payment Card Industry Data Security Standards (PCI DSS)? Il PCI DSS è un sistema standardizzato di requisiti e procedure generalmente adottate dai circuiti internazionali delle carte di pagamento. Il suo scopo consiste nel garantire che i dati sensibili riguardanti il titolare della carta siano costantemente protetti. Esso è basato su 12 principi fondamentali. 1. Installare e mantenere operativa una configurazione firewall per la protezione dei dati 2. Non utilizzare password e altri parametri generici di sicurezza assegnati di default dai fornitori 3. Proteggere i dati archiviati in memoria 4. Codificare mediante crittografia la trasmissione dei dati dei titolari della carta di pagamento 5. Utilizzare e aggiornare con regolarità un software antivirus 6. Sviluppare e mantenere sistemi e applicativi sicuri 7. Limitare l accesso ai dati alle specifiche esigenze di utilizzo commerciale 8. Assegnare un ID individuale a ciascuna persona autorizzata ad accedere ai computer 9. Limitare l accesso fisico ai dati del titolare della carta 10. Tracciare e monitorare tutti gli accessi effettuati a risorse di rete e ai dati del titolare della carta 11. Verificare periodicamente sistemi e procedure di sicurezza 12. Dotarsi di una politica che affronti le problematiche relative alla sicurezza delle informazioni Implementando i PCI DSS, la vostra attività commerciale risulterà automaticamente conforme ai requisiti e alle normative di tutti i principali circuiti internazionali di carte di pagamento e delle relative banche convenzionatrici. Informazioni dettagliate sono consultabili alla pagina web A chi si applica? I PCI DSS si applicano a ogni banca convenzionatrice, commerciante e fornitore esterno che accetti carte di pagamento o che effettui il trattamento dei dati connessi alle relative operazioni. Visa ha chiarito nelle proprie normative che tutti gli istituti di credito associati dovranno risultare conformi ai PCI DSS. Le banche convenzionatrici sono altresì tenute ad assicurarsi che tutti i commercianti da loro rappresentati conseguano la conformità ai requisiti di certificazione PCI DSS. La procedura che dovrete seguire per raggiungere la conformità ai PCI DSS dipenderà dalle dimensioni della vostra azienda e la tipologia dei vostri sistemi di accettazione delle carte di pagamento. Per esempio, qualora non effettuiate l archiviazione dei dati dei titolari delle carte di pagamento all interno dei vostri sistemi informatici, il compito di certificarsi spetterà ai fornitori di servizi di pagamento che per vostro conto svolgono tali operazioni o accedono ai dati delle carte. In questo caso, resterà comunque vostra responsabilità guidare il processo di raggiungimento della conformità ai PCI DSS da parte del fornitore di servizi. È vostro precipuo interesse convincere i fornitori esterni con cui intrattenete rapporti a certificarsi al più presto. 03

6 Dette società di servizi esterne potranno comprendere: > Rivenditori > Fornitori di applicativi software > Acquirer > Fornitori di servizi di pagamento > Strutture di trattamento dei dati delle carte di pagamento > Fornitori di servizi di archiviazione dei dati > Fornitori di servizi di Web hosting > Fornitori di servizi di carrello acquisti elettronico ( shopping cart ) > Fornitori esterni vari operanti in qualità di agenti > Fornitori di applicativi software Leggere attentamente la presente guida per ulteriori informazioni. 1.4 I vantaggi per la vostra attività La sicurezza dei dati deve considerarsi al giorno d oggi un aspetto cruciale per qualunque genere di attività commerciale. Cresce a livello globale l aspettativa, e spesso l esigenza normativa, che ogni azienda sia in grado di tutelare la propria clientela, salvaguardandone le informazioni che la riguardano. Il sistema PCI DSS riveste pertanto un concreto valore per ogni operatore commerciale al dettaglio: In particolare, l implementazione del PCI DSS consente di: > individuare eventuali rischi nelle vostre procedure di archiviazione o trasmissione dei dati dei clienti > fornire una procedura trasparente di intervento e correttiva nell affrontare eventuali rischi > garantire che i vostri fornitori di servizi non espongano a rischi la vostra attività > dimostrare ai vostri clienti che tenete in seria considerazione la loro sicurezza Inoltre, minimizzando il rischio di compromissione dei dati, esso consente di: > proteggervi dal rischio di responsabilità economiche (compresi i costi causati da eventuali frodi perpetrate ai danni di clienti a seguito della compromissione dei loro dati) > proteggervi dal rischio di spese di natura investigativa e legale > salvaguardarvi dal rischio di una pubblicità negativa da parte dei mezzi di informazione È un dato di fatto che, col progredire delle tecnologie utilizzate dagli esercenti e dai loro partner commerciali, anche le frodi compiute ai danni delle carte di pagamento si sono fatte più sofisticate. Ogni esercizio commerciale che effettui l archiviazione o la trasmissione di dati dei titolari di carte di pagamento rappresenta un potenziale bersaglio. La conformità ai PCI DSS minimizza i rischi connessi alla sicurezza dei dati per la vostra attività. 04

7 2.0 Comprendere la procedura di implementazione 2.1 Supportare l implementazione da parte della vostra attività 2.2 Panoramica della procedura di implementazione 05

8 2.0 Comprendere la procedura di implementazione 2.1 Supportare l implementazione da parte della vostra attività Il modo specifico con cui il programma AIS sarà utilizzabile dalla vostra attività e la sua modalità di implementazione, dipenderanno: > dalla dimensione e caratteristiche della vostra attività > dalla configurazione dei vostri sistemi e procedure di accettazione delle carte di pagamento > dai fornitori di servizi con i quali intrattenete rapporti commerciali e i loro rispettivi ruoli. Lavorando in collaborazione con le proprie banche convenzionatrici, Visa assicura dal canto suo ogni disponibilità per supportarvi nella procedura di implementazione. Il presente documento ha lo scopo di: > fornire una guida passo-passo attraverso la procedura di implementazione > assicurarvi un agevole e immediato accesso a tutta la documentazione di riferimento > mettervi in contatto diretto con un Qualified Security Assessors Per eventuali quesiti, non esitate a rivolgervi alla vostra banca convenzionatrice. In alternativa è possibile contattare direttamente Visa all indirizzo di posta elettronica: datasecuritystandards@visa.com. 06

9 2.2 Panoramica della procedura di implementazione Lo schema che segue illustra una panoramica della procedura di implementazione dei PCI DSS. La prima fase consisterà nel familiarizzare con le specifiche caratteristiche dei PCI DSS (consultabili alla pagina web ) e identificare quindi i flussi di dati (relativi alle informazioni sul titolare della carta di pagamento) nell ambito della vostra attività. Ciò consentirà di evidenziare: > In che termini i dati relativi al titolare della carta di pagamento possono essere archiviati o trasmessi attraverso i vostri sistemi > In che termini i dati relativi al titolare della carta di pagamento possono essere archiviati o trasmessi da fornitori che operano per vostro conto Sulla base di tale analisi, potrete determinare se la vostra azienda (e gli eventuali fornitori operanti per vostro conto) sia già in possesso della conformità ai requisiti dei PCI DSS o risultino necessari interventi correttivi. Implementazione passo-passo per i Commercianti Istruirsi sulle caratteristiche del programma PCI DSS. Visualizzare il proprio flusso di dati aziendale Individuare i fornitori esterni correlati fornitori di registratori di cassa fornitori di apparecchiature POS soluzioni integrate IPSP società fornitrici di web Hosting Individuare quali dati transitano nei sistemi del commerciante I fornitori esterni effettuano le modifiche Determinazione delle non- conformità (gap analysis) Effettuare la validazione di conformità Pianificare e attuare gli interventi correttivi Implementare una soluzione conforme rollout software migrazione alla soluzione conforme ai requisiti di certificazione Effettuare la validazione di conformità No Conforme Si Riferire a Visa e all'acquirer 07

10 3.0 Fase uno: Acquisire familiarità con i Payment Card Industry Data Security Standards 08

11 3.0 Fase uno: Acquisire familiarità con i Payment Card Industry Data Security Standards L implementazione dei PCI DSS implica: > definire un quadro più preciso delle modalità operative della vostra attività > determinare se il trattamento dei dati del titolare della carta avvenga con modalità sicure > adottare misure correttive per far fronte a eventuali rischi correlati per la sicurezza dei dati Il primo passo dovrebbe essere quello di acquisire familiarità con i PCI DSS, le cui caratteristiche complete possono essere consultate alla pagina web: I PCI DSS si basano sulle migliori pratiche consolidate in materia di tutela della sicurezza dei dati (per es. lo standard ISO17799). Acquisendo una conoscenza più approfondita dei suoi contenuti, vi sarà possibile identificare quale sia il livello di protezione minimo richiesto dai circuiti internazionali di carte di pagamento. 09

12 4.0 Fase due: Identificare il flusso dei dati nell ambito della vostra attività 10

13 4.0 Fase due: Identificare il flusso dei dati nell ambito della vostra attività Dopo che avrete acquisito familiarità con i PCI DSS, il passo successivo dovrebbe essere la costituzione di un team di progetto dedicato nell ambito della vostra azienda. La priorità immediata di questo team dovrà essere l effettuazione di un analisi del modo con cui i dati delle carte di pagamento vengono elaborati all interno della vostra azienda e una rilevazione dei relativi flussi di dati. Questa procedura dovrebbe evidenziare due fattori critici: > dovrebbe identificare i sistemi nei quali sono archiviati i dati del titolare della carta > dovrebbe rivelare quali di tali sistemi risultino sotto il vostro diretto controllo A seconda delle dimensioni e delle caratteristiche della vostra attività, è probabile che il controllo di alcuni (o forse della totalità) di tali sistemi sia appaltato a fornitori esterni di servizi o di beni (come per esempio i fornitori di registratori di cassa, di apparecchiature POS, di soluzioni integrate, di servizi di pagamento online, di gateway di pagamento o le aziende fornitrici di servizi di web hosting ). In simili circostanze è probabile (sulla base dell accordo stipulato con la vostra banca convenzionatrice) che la vostra azienda risulti responsabile in ultima analisi dell operato di queste società di servizi esterne. Dovrebbe ora esservi possibile identificare due diverse aree di intervento: > interventi necessari ad assicurare che tutti i vostri fornitori di servizi risultino conformi ai requisiti dei PCI DSS (Fase 3, Art. 5 della Guida) > interventi necessari per implementare i PCI DSS nell ambito della vostra attività (Fasi dalla 4 alla 10, dall Art. 6 a seguire) Nota: La fase 3 nell Art. 5 della Guida si riferisce a come interagire con i fornitori di servizi. Nel caso non intratteniate relazioni con fornitori di servizi, passate direttamente alla Fase 4, dall Art. 6 a seguire. 11

14 5.0 Fase tre: Controllare e monitorare la posizione dei vostri fornitori di servizi 5.1 Sostenere i vostri fornitori di servizi nella procedura di implementazione 5.2 Certificazione per i fornitori di servizi 5.3 Implementazione di una soluzione conforme allo standard 12

15 5.0 Fase tre: Controllare e monitorare la posizione dei vostri fornitori di servizi In base ai termini del contratto stipulato con la banca convenzionatrice, la vostra azienda potrà risultare direttamente responsabile della sicurezza nel trattamento dei dati compiute da qualunque fornitore di servizi di pagamento operante per vostro conto. Risulta pertanto urgentemente necessario accertarsi che tutti i suddetti fornitori di servizi risultino conformi ai PCI DSS. In considerazione del fatto che la sicurezza dei dati dei clienti costituisce un aspetto cruciale per il sistema delle carte di pagamento, è probabile che tutti i vostri fornitori di servizi siano già a conoscenza dei PCI DSS. Molti fornitori risultano già in regola e molti altri dispongono di un formale programma per il rilascio dell accreditamento. È opportuno che effettuiate monitoraggi periodici dei progressi conseguiti dai vostri fornitori di servizi verso la certificazione di conformità. In caso di compromissione dei dati (a seconda dell accordo contrattuale in essere tra voi e la banca convenzionatrice), potrete essere considerati responsabili dei costi che da tale compromissione avessero a derivare. Visa pubblica un elenco completo di tutti i fornitori di servizi certificati o che hanno avviato le procedure di certificazione. Detto elenco è consultabile alla pagina web alla voce List of certified Service Providers. Nel caso si individuassero fornitori di servizi non inclusi nel presente elenco, sarà necessario accertarsi che intraprendano le necessarie iniziative di adeguamento ai requisiti di conformità. In particolare, Visa raccomanda di inserire l obbligo di acquisizione della conformità ai PCI DSS tra le clausole contrattuali dei contratti da stipulare con i vostri fornitori di servizi. Nel quadro del suo programma denominato Account Information Security (AIS), Visa assiste i fornitori di servizi nella procedura di raggiungimento della certificazione di conformità. Raccomandiamo pertanto che informiate la vostra banca convenzionatrice della presenza di eventuali fornitori di servizi non conformi ai requisiti di certificazione, affinché provveda a registrarli presso Visa. Durante la procedura di certificazione è possibile la vostra banca convenzionatrice richieda il vostro supporto e intervento. Essa potrà, tra l altro, chiedervi di esercitare ulteriori pressioni nei confronti di un determinato fornitore di servizi (per esempio, sollecitando garanzie sulla sua disponibilità ad adeguarsi ai requisiti di conformità entro un periodo di tempo ragionevole). 5.1 Sostenere i vostri fornitori di servizi nella procedura di implementazione Visa opera tendenzialmente in modalità proattiva nei confronti dei fornitori di servizi, guidandoli attraverso la procedura di certificazione della conformità. 13

16 Nella maggior parte dei casi il fornitore di servizi ricorrerà all assistenza di un Qualified Security Assessor, ossia di un auditor accreditato da Visa e/o da MasterCard e specializzato nell assistenza nelle procedure di adeguamento ai requisiti PCI DSS. Si faccia riferimento alla pagina web per un elenco completo dei nominativi dei Qualified Security Assessors. Il Qualified Security Assessor opera a fianco del fornitore di servizi per la rilevazione del flusso dei dati. Sulla base di tali informazioni, il Qualified Security Assessor determinerà quindi tramite gap analysis le aree in cui è necessario apportare correttivi, concordando gli interventi necessari per mettere a norma il fornitore di servizi rispetto ai criteri di conformità. Il fornitore di servizi provvederà quindi alla pianificazione ed implementazione delle misure concordate, introducendo le necessarie modifiche a livello di sistema, procedurale e giuridico, preliminari alla certificazione. 5.2 Implementazione di una soluzione conforme allo standard Dopo l effettuazione delle modifiche concordate, il fornitore di servizi sarà pronto per sottoporsi alla procedura formale di audit e certificazione, PCI DSS, condotta da un Qualified Security Assessor. Al fine di completare la procedura di audit, il valutatore fornirà a Visa copia compilata del report di verifica finale. Il documento di audit fornisce informazioni complete sulla procedura di audit. Consultare la pagina web che contiene copia di un documento di audit standard. Nel caso il fornitore di servizi sia un rivenditore di software, i suoi prodotti dovranno essere sottoposti a verifica sulla base delle Payment Application Best Practices. Tali pratiche, derivate dai PCI DSS e che assicurano che il software di pagamento utilizzato da un commerciante sia conforme ai requisiti PCI DSS, sono consultabili alla pagina web In ogni altra circostanza, il fornitore di servizi sarà sottoposto ad audit secondo i criteri previsti dai PCI DSS. 5.3 Implementazione di una soluzione conforme allo standard Dopo che il Qualified Security Assessor avrà confermato che un rivenditore di software risulta conforme ai requisiti del programma PCI DSS, il fornitore sarà in grado di offrire prodotti certificati ai propri clienti e assisterli nella loro implementazione. Analogamente, non appena un fornitore di servizi abbia confermato la conformità dei propri sistemi rispetto ai PCI DSS, tutti i vostri dati che vengono elaborati da tale fornitore di servizi potranno considerarsi conformi ai requisiti PCI DSS. In alcuni casi potrà rendersi necessaria l adozione di ulteriori misure correttive rispetto ai dati di titolari di carte di pagamento presenti nei vostri sistemi informatici. A questo punto la vostra attività dovrebbe anch essa risultare pronta a sottoporsi all audit di certificazione. 14

17 6.0 Fase quattro: Determinare le non-conformità e definire la portata del progetto 15

18 6.0 Fase quattro: Determinare le non-conformità e definire la portata del progetto Una volta eseguita la rilevazione dei flussi di dati all interno della vostra attività, dovrete identificare quali tra i vostri sistemi siano responsabili dell archiviazione dei dati dei titolari delle carte di pagamento. Tali sistemi dovranno divenire il vostro centro di interesse primario. In questa fase iniziale del processo di implementazione dovrete: > ottenere un quadro della portata degli interventi correttivi eventualmente richiesti ai fini della conformità ai requisiti del programma PCI DSS > accertare il livello di risorse che risulterà necessario e le prevedibili tempistiche per il completamento della procedura > costituire un team di progetto per la negoziazione dei rispettivi ruoli e responsabilità (quali le comunicazioni con la banca convenzionatrice, quelle con i fornitori di servizi, la specificazione delle modifiche tecniche, l individuazione delle esigenze di formazione, ecc.). A questo stadio dovrete inoltre valutare se e quando avvalervi dei servizi di un Qualified Security Assessor, ossia di un auditor accreditato da Visa e/o da MasterCard specializzato nell assistenza nelle procedure di adeguamento ai requisiti PCI DSS. Visa dispone di un elenco di tutti i Qualified Security Assessors. Copia di tale elenco è consultabile alla pagina web Alcuni commercianti riterranno opportuno avvalersi fin dall inizio di un Qualified Security Assessor. Altri potranno preferire svolgere una prima ricognizione attraverso le proprie risorse interne, ricorrendo al Qualified Security Assessor in fase successiva, per un esame più approfondito. 16

19 7.0 Fase cinque: Selezionare la vostra opzione di accreditamento 7.1 L Audit annuale on-site 7.2 Il Vulnerability Scan trimestrale 7.3 Il Questionario di Autovalutazione annuale 17

20 7.0 Fase cinque: Selezionare la vostra opzione di accreditamento A seconda delle dimensioni della vostra attività e della configurazione dei vostri sistemi di accettazione dei pagamenti, vi saranno modalità diverse con cui verificare e validare la vostra conformità ai requisiti dei PCI DSS. > Gli esercizi commerciali di maggiori dimensioni (quelli che normalmente trattano un numero di pagamenti con Visa e/o MasterCard superiore ai sei milioni di operazioni l anno) dovranno: Completare un audit on-site annuale (consultare la pagina web Effettuare un Vulnerability Scan trimestrale (consultare la pagina web sezione Procedures and Guidelines ed inoltre alla pagina web > Gli esercizi commerciali che trattano tra e transazioni all'anno dovranno: Compilare il Questionario di Autovalutazione annuale (consultare la pagina web sezione Procedures and Guidelines ed inoltre alla pagina web Effettuare un Vulnerability Scan trimestrale (consultare la pagina web sezione Procedures and Guidelines ed inoltre alla pagina web > Gli operatori di maggiori dimensioni del settore dell e-commerce (quelli che normalmente trattano un numero di pagamenti con Visa e/o MasterCard superiore alle ma inferiore a un milione di operazioni l anno) dovranno: Compilare il Questionario di Autovalutazione annuale (consultare la pagina web sezione Procedures and Guidelines ed inoltre alla pagina web Effettuare un Vulnerability Scan trimestrale (consultare la pagina web sezione Procedures and Guidelines ed inoltre alla pagina web > Gli altri commercianti (quelli che normalmente trattano un numero annuo di operazioni Visa e/o MasterCard inferiore ai sei milioni e gli operatori e-commerce che trattano meno di ) dovranno: Compilare il Questionario di Autovalutazione annuale (consultare la pagina web sezione Procedures and Guidelines ed inoltre alla pagina web Effettuare un Vulnerability Scan trimestrale (consultare la pagina web sezione Procedures and Guidelines ed inoltre alla pagina web Sulla base della sua esperienza nel mercato in cui opera, la vostra banca convenzionatrice sarà in grado di suggerire quale delle predette opzioni risulti più appropriata per la vostra attività. 18

21 7.1 L Audit annuale on-site La verifica (audit) on-site annuale rappresenta una valutazione esterna del rischio, che viene in genere svolta da un Qualified Security Assessor. Durante l effettuazione dell audit, l Assessor si atterrà a una procedura di controllo standard, costruita attorno ai 12 principi fondamentali dei PCI DSS Copia completa delle procedure di valutazione della sicurezza che un Assessor esegue durante un audit on-site è consultabile alla pagina web sezione Procedures and Guidelines ed inoltre alla pagina web Nel caso in cui utilizziate correntemente i servizi di un consulente per la sicurezza nell esecuzione del vostro conto delle verifiche on-site, è possibile che tale soggetto sia anche autorizzato a effettuare l audit on-site per i PCI DSS. Analogamente sarà possibile far effettuare l audit da vostro personale interno. Vi invitiamo a informarvi presso la vostra banca convenzionatrice. 7.2 Il Vulnerability Scan trimestrale Un Vulnerability Scan (la scansione per la rilevazione di eventuali vulnerabilità del sistema) consente di verificare che i vostri sistemi informatici siano adeguatamente protetti da minacce esterne (quali la pirateria informatica o virus). I dispositivi di scansione controllano tutte le apparecchiature di rete, gli host e gli applicativi alla ricerca di vulnerabilità note. Le scansioni non hanno carattere invasivo e sono svolte da un operatore autorizzato all effettuazione di scansioni di sicurezza sulle reti. Un elenco completo di questi operatori è consultabile alla pagina web L effettuazione di scansioni trimestrali è necessaria per garantire che i vostri sistemi e applicativi mantengano costanti nel tempo i livelli di protezione richiesta. Nel caso la scansione individui delle vulnerabilità, sarà necessario effettuarne una successiva per accertare l efficacia dell intervento correttivo eseguito. 7.3 Il Questionario di Autovalutazione annuale Il Questionario di Autovalutazione è uno strumento gratuito e di carattere riservato, utilizzabile per misurare il vostro livello di conformità ai PCI DSS. Il Questionario di Autovalutazione è disponibile online e consta di una serie di quesiti a risposta si / no. Dopo averlo completato, sarete in grado di effettuare una corretta valutazione del vostro livello di esposizione al rischio. Nel caso la valutazione evidenzi la necessità di apportare interventi correttivi, sarà necessario adottare tali provvedimenti per conformarsi ai PCI DSS. 19

22 Ove lo si desideri è possibile scaricare una versione stampabile del Questionario di Autovalutazione (consultabile alla pagina web: sezione Procedures and Guidelines ed inoltre alla pagina web prima del suo inoltro in modalità telematica. Ciò consente di distribuire i quesiti alle persone interessate nell ambito dell organizzazione e ottenere così risposte accurate. Ai fini dell accreditamento PCI DSS, dovrete superare il questionario di autovalutazione. Per superare il questionario dovrete essere in grado di rispondere affermativamente a ciascuno dei quesiti o di indicare, ove tale opzione sia consentita, che il quesito non si applica all attività da voi svolta. Dovrete incorporare il questionario nelle vostre ordinarie procedure aziendali e assicurarvi che esso venga compilato annualmente. Potrete decidere di effettuare interamente all interno della vostra azienda la procedura di audit o di compilazione del Questionario di Autovalutazione, oppure ricorrere all assistenza (o consulenza) di un Qualified Security Assessor perché svolga tali procedure in vostra vece. 20

23 8.0 Fase sei: Pianificazione e attuazione degli interventi correttivi 21

24 8.0 Fase sei: Pianificazione e attuazione degli interventi correttivi Dopo aver individuato l opzione di accreditamento più idonea, sarà in genere necessario determinare le non-conformità in maniera più approfondita e sviluppare un piano di interventi correttivi completo, per garantire la conformità ai PSI DSS. Anche in questo caso l operazione potrà essere svolta internamente, oppure potrete decidere a questo stadio di ricorrere ai servizi di un Qualified Security Assessor. Il ricorso a un Assessor in questa fase precoce della procedura può conferire un particolare valore aggiunto al progetto. In particolare, l Assessor può essere in grado di offrirvi un punto di vista competente sull idoneità delle iniziative correttive da voi intraprese e delle relative scadenze attuative. In questa fase dovrete anche provvedere ad assegnare ai diversi componenti del team di progetto specifici compiti nel quadro degli interventi correttivi e concordare con loro tempi di esecuzione appropriati. Alcune delle necessarie attività correttive potranno richiedere che si faccia riferimento a fornitori esterni di servizi o di beni già conformi ai requisiti di certificazione, mentre altre potranno essere svolte internamente. Si raccomanda di effettuare gli eventuali interventi correttivi al vostro sistema con la massima sollecitudine. Dal punto di vista del project management potrebbe sembrare più opportuno attendere fino al momento in cui un dato fornitore di servizi risulti conforme ai requisiti di certificazione. Si ricordi tuttavia che la finalità primaria di questa attività non consiste nella certificazione della raggiunta conformità, ma nel suo effettivo conseguimento e mantenimento. Attuando qualunque iniziativa disponibile non appena risulti possibile, compirete un passo fondamentale verso la tutela della vostra attività (e dei vostri clienti) contro il rischio di compromissione dei dati. 22

25 9.0 Fase sette: Certificazione 23

26 9.0 Fase sette: Certificazione Per superare con successo l ultima fase della certificazione, sarà necessario da parte vostra: > completare gli interventi correttivi su tutti i sistemi sottoposti al vostro controllo > confermare che ciascuno dei vostri fornitori di servizi risulta pienamente conforme agli standard di certificazione (oltre che l avvenuta implementazione dei loro prodotti certificati nel vostro sistema di accettazione delle carte di pagamento) Una volta completate queste procedure provvederete, autonomamente o con l assistenza di un Qualified Security Assessor, ad effettuare un audit on-site (o, a seconda del livello, compilare il Questionario di Autocertificazione). Il Qualified Security Assessor discuterà le risultanze dell audit con la vostra organizzazione, certificando l accreditamento nel caso di un suo esito positivo. Potrete quindi dare conferma alla vostra banca convenzionatrice dell avvenuto rilascio della certificazione. La banca convenzionatrice provvederà a sua volta ad informarne Visa e tutti i circuiti di carte di pagamento. Oltre a risultare adeguatamente protetti rispetto a ogni rischio commerciale correlato, sarete in grado di pubblicizzare la vostra certificazione nei vostri materiali informativi e promozionali. Per mantenere nel tempo la validità della certificazione, sarà necessario effettuare un audit annuale e ripetere con cadenza trimestrale il Vulnerability Scan. 24

27 10.0 Mantenimento della certificazione 25

28 10.0 Mantenimento della certificazione L implementazione dei PCI DSS non dovrà considerarsi come un adempimento di tipo burocratico da effettuarsi una tantum. La sua finalità è invece quella di proteggere la vostra attività (e i vostri clienti) nei confronti di rischi reali per la sicurezza dei dati. Adottando le necessarie misure correttive potrete assicurare un immediata protezione alla vostra attività. È tuttavia importante non perdere di vista l esigenza che il livello di protezione conseguita permanga costante nel tempo. Per mantenere nel tempo la validità della certificazione, sarà necessario effettuare un audit annuale e ripetere con cadenza trimestrale il Vulnerability Scan. Si raccomanda inoltre di istituire procedure aziendali atte a garantirvi dal rischio di decadenza della certificazione. Dovrete, tra l altro: > vagliare periodicamente le vostre politiche relative al controllo sull accesso ai dati > integrare la scansione della vulnerabilità del sistema (vulnerability scan) nelle vostre ordinarie procedure aziendali > garantire che eventuali nuovi sistemi o applicativi risultino pienamente conformi allo standard di certificazione > istituire processi e procedure per l aggiornamento periodico dei vostri sistemi antivirus Oltre a garantire la conformità nel tempo dei vostri sistemi e procedure, dovrete anche accertarvi che questa sia mantenuta dai vostri fornitori di servizi. Una possibile soluzione in tal senso consiste nell includere nei vostri accordi contrattuali, termini e condizioni, delle clausole che prevedano espressamente l obbligo di conformità ai PCI DSS. In termini di politica commerciale è altresì consigliabile evitare di intrattenere rapporti con fornitori di servizi o partner commerciali non impegnati ad adeguarsi alla certificazione o non intenzionati ad attenersi ai PCI DSS. 26

29 11.0 Il nostro supporto 27

30 11.0 Il nostro supporto Per qualsiasi ulteriore informazione concernente il programma AIS (o qualunque altro aspetto relativo alle vostre attività di accettazione delle carte di pagamento), potete consultare il nostro sito web all indirizzo internet Lavorando in collaborazione con le proprie banche convenzionatrici, Visa assicura il suo impegno a rendere il più possibile agevole, conveniente e sicura per la vostra attività l accettazione delle carte di pagamento. Per eventuali quesiti, il vostro primo punto di contatto dovrebbe essere rappresentato dalla vostra banca convenzionatrice. In alternativa è possibile contattare direttamente Visa all indirizzo di posta elettronica datasecuritystandards@visa.com. 28 Argomenti Indietro Chiudi