Carte di credito in tutta sicurezza per gli hotel

Transcript

1 Carte di credito in tutta sicurezza per gli hotel PCI DSS quale fattore di sicurezza duraturo per l'attività ConCardis GmbH Helfmann-Park Eschborn

2 Sommario 1. Obiettivo degli attacchi: informazioni delle carte di credito A cosa serve lo standard PCI DSS? A cosa mirano i criminali? L'iter per la conformità PCI DSS Da dove si parte? Perché è importante la dimostrazione della propria conformità PCI DSS? Dimostrazione della conformità PCI DSS tramite questionari di autovalutazione La scelta del SAQ corretto Importanti indicazioni integrative per la scelta del modulo SAQ corretto Misure per la PCI DSS Compliance per gli hotel (SAQ B) Campo di applicazione Accesso alle informazioni delle carte di credito Gestione delle Gestione di stampe e ricevute cartacee Il terminale di pagamento Documenti di sicurezza Sicurezza duratura per i dati delle carte di credito Allegato A: Lista di controllo SAQ B Allegato B: Lista di controllo Settori di trattamento delle carte di credito Misure per la PCI DSS Compliance per gli hotel (SAQ B-IP) Campo di applicazione Accesso alle informazioni delle carte di credito ASV SCAN Gestione delle Gestione di stampe e ricevute cartacee Documenti di sicurezza Allegato C: Lista di controllo SAQ B-IP Allegato D: Lista di controllo Settori di trattamento delle carte di credito /25

3 1. Obiettivo degli attacchi: informazioni delle carte di credito 1.1. A cosa serve lo standard PCI DSS? I dati delle carte di credito sono un obiettivo molto ambito dai criminali. Specialmente nelle piccole aziende, tali dati sono una preda facile che può essere convertita in denaro con relativamente poche complicazioni. Nello specifico, spesso è proprio il settore alberghiero a essere vittima del furto dei dati delle carte di credito. Che si tratti di hacker professionali o di impiegati malintenzionati, i criminali sono generalmente molto ben organizzati e il commercio delle informazioni rubate è florido. Nel caso in cui venga scoperto un furto di informazioni delle carte di credito, ciò richiede per prima cosa indagini onerose, cui seguono richieste di risarcimento danni e sanzioni. Infine, la pubblicazione dell'evento sulla stampa crea un danno d'immagine praticamente irreparabile. La fiducia dei clienti viene meno e l'attività commerciale subisce un danno a lungo termine. Per far fronte a questo problema, le principali società di carte di credito si sono alleate fondando il Payment Card Industry Security Standards Council (PCI SSC). Dall'uniformazione delle direttive di sicurezza delle singole società è nato il PCI Data Security Standard (PCI DSS), che pone le basi per una procedura unitaria a tutela dei dati delle carte di credito che comprende misure tecniche e organizzative. In caso di applicazione di tali misure, la loro interazione assicura un minimo di sicurezza alle informazioni delle carte di credito. La dimostrazione della propria conformità allo standard PCI DSS può influenzare notevolmente la questione della responsabilità nel caso in cui sia reso noto un furto di dati. A tal fine è tuttavia necessario dimostrare che al momento dell'incidente erano state applicate e rispettate tutte le misure dello standard PCI. Ad ogni modo, in quanto albergatori si dovrebbe inoltre sempre tenere ben presente il fatto che la sicurezza dei dati delle carte di credito dei propri clienti garantisce la sicurezza della propria fonte di reddito e tutela l'immagine dell azienda. 3/25

4 1.2. A cosa mirano i criminali? I dati delle carte di credito si trovano inizialmente sulla carta stessa sotto forma di firma, sul chip e sulla banda magnetica. La seguente figura illustra la struttura di una tipica carta di credito. 1. Chip 2. Numero della carta (Primary Account Number, PAN) 3. Data di scadenza 4. Nome del titolare della carta 5. Banda magnetica 6. Codice di sicurezza della carta Gli elementi della carta di credito cui ambiscono i criminali sono soprattutto il numero (PAN) e il codice di sicurezza (CVC2/CVV2/ ), così come l'intera banda magnetica, al fine di poter realizzare una copia illegale della carta. Nel fiorente mercato nero delle carte di credito rubate queste informazioni possono essere convertite in denaro con relativa facilità. Il rischio per i criminali è relativamente ridotto: generalmente sono molto ben organizzati e agiscono a livello internazionale. La tracciabilità è praticamente impossibile. Ma a cosa servono le informazioni rubate? Con i numeri delle carte di credito rubati è possibile eseguire senza problemi transazioni di pagamento per le quali la carta non deve essere fisicamente presente, ad esempio nel caso degli acquisti su Internet. Attraverso sofisticati stratagemmi la merce viene poi consegnata o rivenduta mediante degli intermediari. In caso di uso di terminali di pagamenti, sussiste il pericolo che questi vengano manipolati e che la banda magnetica sia quindi "copiata". I dati della banda magnetica vengono in questo caso letti durante il processo di pagamento e trasmessi ai malintenzionati. Questi ultimi possono copiare i dati così ottenuti su una carta di credito in bianco e utilizzarla poi fisicamente per effettuare pagamenti. Le misure PCI DSS affrontano in maniera mirata i possibili punti di attacco e offrono in questo modo uno standard minimo di sicurezza per le informazioni delle carte di credito. 4/25

5 2. L'iter per la conformità PCI DSS 2.1. Da dove si parte? All'inizio è consigliabile scrivere un elenco che contenga luoghi e modalità di trattamento delle informazioni delle carte di credito all'interno dell'hotel. Occorre considerare dove e come le informazioni giungono all'hotel, quale iter seguono al suo interno e come eventualmente vengono trasmesse da quest'ultimo all'esterno. Processo Area Mezzo contenente i dati Trattamento dei dati Il cliente paga il soggiorno con carta di credito e la consegna fisicamente all'addetto alla reception Reception Cartaceo Alla reception la carta viene strisciata sul terminale e poi restituita al cliente conservando una ricevuta che viene riposta in un armadio/cassetto chiuso a chiave Le ricevute raccolte in una giornata alla reception vengono poi consegnate alla contabilità Reception Contabilità Cartaceo Il reparto contabilità prende in consegna le ricevute e verifica l'avvenuto pagamento; successivamente le archivia per la durata prevista per legge (sotto chiave) Allo scadere del termine, un'azienda di servizi ritira le ricevute e le avvia allo smaltimento Contabilità Archivio Cartaceo L'azienda di servizi smaltisce correttamente le ricevute cartacee Sebbene in realtà non sia necessario, un cliente invia una richiesta di prenotazione via con i dati della sua carta di credito Reception Prenotazione Digitale L' viene stampata e cancellata direttamente dalla casella di posta Il vantaggio di un elenco di questo tipo è che offre una panoramica sulle possibili aree a rischio e può fungere al tempo stesso da punto di partenza per le misure da attuare. L'elenco qui riportato non ha alcuna pretesa di completezza ma costituisce unicamente un esempio. Bisogna prestare particolare attenzione ai punti dell'elenco nei quali i dati delle carte di credito sono presenti in forma elettronica (digitale). Le informazioni memorizzate sui computer rappresentano infatti una facile preda per gli hacker, che una volta ottenuto l'accesso alla rete interna dell'hotel possono trafugare dati in grande quantità. Siccome non devono essere fisicamente presenti sul posto, il rischio di essere scoperti è per loro relativamente ridotto. A causa dell'elevato rischio cui sono esposti i dati delle carte di credito in formato digitale, lo standard di sicurezza PCI prescrive ampie misure per proteggerli in modo adeguato. L'entità delle misure da attuare a tutela delle informazioni delle carte di credito e quindi gli oneri per il raggiungimento della conformità PCI DSS possono essere notevolmente ridotti rinunciando ad ogni forma di archiviazione elettronica! Per questo motivo, è necessario chiarire in proposito se le informazioni delle carte di credito devono necessariamente essere memorizzate in forma elettronica o se invece se ne può fare a meno. 5/25

6 Spesso gli hotel ricevono, ad esempio, dai clienti contenenti dati delle carte di credito. Nel caso in cui questi messaggi non vengano prontamente cancellati, ciò costituisce un caso di archiviazione elettronica dei dati. Questo problema può essere aggirato stampando le in questione e trattando i dati solo su carta. Così facendo l' può essere completamente rimossa dal computer subito dopo la stampa. Questa procedura richiede anche lo svuotamento del cestino o della cartella «Posta eliminata» di Outlook. In genere vale che: se l'archiviazione elettronica dei dati delle carte di credito non è necessaria è meglio rinunciarvi! 2.2. Perché è importante la dimostrazione della propria conformità PCI DSS? In molti casi di furto di dati di carte di credito, nel corso delle successive indagini, emerge spesso la mancata attuazione di una o più delle misure PCI DSS richieste. Fra le conseguenze di tale eventualità rientrano fra l'altro richieste di risarcimento danni, sanzioni, danni alla reputazione e quindi perdita di clienti. Un avvenimento di questo tipo può dunque generare notevoli danni e pregiudicare l'attività a lungo termine Dimostrazione della conformità PCI DSS tramite questionari di autovalutazione i questionari di autovalutazione (in inglese: Self-Assessment Questionnaire, SAQ) rappresentano per le piccole aziende una maniera efficiente e fattibile di dimostrare la conformità PCI DSS. I SAQ sono adeguati alle varie esigenze a seconda del modello aziendale. Il questionario deve essere compilato e presentato una volta l'anno. Ciò consente anche di verificare le misure introdotte e/o di reagire a eventuali cambiamenti avvenuti nei processi aziendali, adeguando all'occorrenza la categoria del SAQ La scelta del SAQ corretto Il SAQ corretto per voi dipende dai vostri processi aziendali. Al fine di consentire un'adeguata valutazione del proprio ambiente di lavoro sotto il profilo della conformità PCI DSS, sono state introdotte sette categorie. I criteri distintivi sono indicati nella colonna di destra della seguente tabella. Un decisivo fattore di influenza è l'archiviazione elettronica dei dati delle carte di credito. In questo caso va infatti sempre utilizzato il SAQ della categoria D. Sulla piattaforma PCI DSS ConCardis, che vi offre supporto per affrontare l'iter verso la conformità PCI DSS, potete trovare il SAQ da compilare. Dopo la registrazione, una procedura guidata, vi aiuterà a scegliere correttamente il modulo da utilizzare. Potete registrarvi sulla piattaforma PCI DSS ConCardis mediante il seguente link: Tenete presente che ConCardis dovrà avervi precedentemente inviato i dati per il primo accesso. In alternativa potete richiedere a ConCardis il modulo SAQ corretto per voi oppure scaricarlo dal sito web del PCI SSC: 6/25

7 Esempio: nel mio hotel vengono impiegati due terminali con collegamento telefonico per il pagamento con carta di credito. Uno si trova alla reception, l'altro nella sala ristorante. I due dispositivi non memorizzano i dati delle carte di credito ma si limitano a generare una ricevuta cartacea all'avvenuto pagamento. Successivamente lavoriamo esclusivamente con tale ricevuta cartacea (contabilità, ecc.). Le contenenti informazioni su carte di credito vengono cancellate, immediatamente dopo la ricezione, dalla cartella della posta in entrata, dal cestino e dalla cartella "Posta eliminata". Ne risulta che bisogna compilare il modulo SAQ di categoria B. Categoria SAQ Estensione Target/Caratteristiche A 14 domande Esternalizzazione di tutte le funzioni relative alle carte di credito Carte di credito fisicamente non presenti (ovvero solo e- commerce e vendite per corrispondenza) A-EP 105 domande Commercianti on-line che hanno affidato tutti i processi di pagamento a un operatore esterno certificato PCI DSS Gestione di un sito che non riceve direttamente dati delle carte ma che può influenzare la sicurezza del processo di pagamento Nessuna archiviazione elettronica dei dati delle carte di credito B 38 domande Per il pagamento con carta di credito vengono impiegati esclusivamente terminali con collegamento telefonico (ISDN o analogico) Nessuna archiviazione elettronica dei dati delle carte di credito (nemmeno del terminale) B-IP 62 domande Eesercenti che utilizzano esclusivamente terminali di pagamento stand-alone certificati PTS con collegamento IP al processor Nessuna archiviazione elettronica dei dati delle carte di credito C-VT 58 domande La gestione del pagamento avviene esclusivamente con terminali virtuali su base web Il computer su cui è impiegato il terminale virtuale non deve essere collegato con nessun altro sistema dell'esercente Nessuna archiviazione elettronica dei dati delle carte di credito C 96 domande Impiego di terminali per carte di credito e/o applicazioni di pagamento connessi a Internet I terminali e le applicazioni di pagamento devono essere collegati solo a Internet e a nessun altro sistema dell'esercente Nessuna archiviazione elettronica dei dati delle carte di credito D 241 domande tutti i casi non contemplati dalle descrizioni per le categorie da A a C Tutti i provider di servizi 7/25

8 2.5. Importanti indicazioni integrative per la scelta del modulo SAQ corretto Succede regolarmente che a causa della mancata conoscenza dettagliata dei requisiti degli standard di sicurezza PCI DSS la scelta del SAQ da compilare non sia ottimale. Spesso viene compilato il modulo di categoria D nonostante lievi modifiche consentirebbero l'inserimento in una categoria diversa. Ciò dipende sostanzialmente da comportamenti sbagliati del personale e dell'infrastruttura attualmente presente, che possono essere facilmente adeguati in maniera da poter applicare un SAQ di categoria inferiore. Il vantaggio sta qui nell'estensione notevolmente minore delle misure di sicurezza da adottare per soddisfare gli standard di sicurezza PCI DSS. Di seguito vengono descritti alcuni scenari frequenti che comportano l'applicabilità del SAQ di categoria D. Brevi consigli operativi per ciascuno di questi scenari possono prevenire la necessità di applicazione del SAQ D, semplificando notevolmente l'iter per ottenere la conformità PCI DSS. Le informazioni delle carte di credito sono disponibili in formato elettronico Spesso capita che i dati delle carte di credito vengano archiviati in formato elettronico in diverse occasioni, ad esempio in file di testo o fogli di calcolo, senza pensare ai rischi che ne derivano. Inoltre, spesso le contenenti informazioni sulle carte di credito non vengono cancellate dalle caselle di posta. Le possono essere stampate ed evase su carta. Se un' viene cancellata subito dopo la stampa (anche dal cestino e dalla cartella "Posta eliminata"), non si configura più un'archiviazione ai sensi dello standard PCI DSS. Se non siete sicuri se sui vostri sistemi siano presenti dati sulle carte di credito in formato elettronico potete utilizzare appositi software per cercarli. Si raccomanda una verifica iniziale dei sistemi presenti. Il vostro fornitore di servizi IT dovrebbe potervi aiutare. Nel caso in cui nel vostro hotel le informazioni sulle carte di credito vengano memorizzate in formato elettronico si applica subito il SAQ! Per questo motivo si ricorda ancora una volta che dovreste evitare qualsiasi forma di archiviazione elettronica dei dati delle carte di credito qualora ciò non sia strettamente necessario! Mancata segmentazione di rete Lo standard di sicurezza PCI DSS richiede una separazione dei sistemi che trattano i dati delle carte di credito e quelli che non necessitano di un accesso a tali informazioni. L'isolamento dei sistemi che trattano dati di carte di credito è un presupposto necessario, specialmente per l'applicabilità del modulo SAQ B-IP. I terminali e le applicazioni di pagamento devono essere collegati solo a Internet e a nessun altro sistema dell'esercente. In questo modo si mira a ridurre il rischio di un furto delle informazioni. L'impiego e l'idonea configurazione di firewall e router può impedire la comunicazione fra i sistemi che elaborano dati delle carte di credito e gli altri sistemi presenti nell'hotel, al fine di ottenere l'auspicata segmentazione. L'obiettivo è impedire l'accesso ai sistemi che trattano i dati da parte di quelli che non li trattano. Il vostro fornitore di servizi IT dovrebbe potervi aiutare nell'attuazione di queste misure. In mancanza di tale isolamento dei sistemi che trattano i dati delle carte di credito è necessario adottare ampie misure di tutela per l'intera rete. Ne deriva la necessità di utilizzare il modulo SAQ D! 8/25

9 Accesso sicuro in caso di manutenzione remota Spesso i fornitori di software offrono ai propri clienti la possibilità di manutenzione remota per risolvere efficientemente eventuali problemi. Un accesso remoto non sufficientemente sicuro comporta un notevole potenziale di rischio e può far sì che un hacker possa trafugare informazioni critiche sotto il profilo della sicurezza. Qualora doveste consentire al vostro fornitore di servizi informatici o a un produttore di software l'accesso remoto ai vostri sistemi nell'ambito di un contratto di supporto e manutenzione, tale accesso deve essere reso sufficientemente sicuro. La comunicazione deve avvenire con l'applicazione di tecnologie di codifica come l'autenticazione a due fattori (ad es. tramite un VPN con certificato e nome utente e password). Inoltre, l'accesso deve avvenire solo mediante un account appositamente configurato, da attivare solo quando necessario. Non deve comportare una possibilità di accesso permanente. Tali accessi devono essere monitorati per tutta la loro durata. Il vostro fornitore di servizi IT o il produttore del software dovrebbero potervi aiutare nell'attuazione di tali misure. Nei casi più frequenti, alla luce di queste raccomandazioni, è possibile evitare l'applicazione del modulo SAQ D e ottenere in questo modo la conformità PCI DSS in maniera più efficiente. 3. Misure per la PCI DSS Compliance per gli hotel (SAQ B) I dati delle carte di credito vengono trattati solo da terminali con connessione telefonica e su ricevute cartacee. Nessuna archiviazione elettronica dei dati delle carte di credito Campo di applicazione I contenuti di seguito affrontati corrispondono a quelli del modulo SAQ di categoria B e si riferiscono dunque a un ambiente lavorativo in cui i dati delle carte di credito vengono trattati esclusivamente su carta e con terminali di pagamento collegati tramite ISDN senza memorizzazione elettronica dei dati stessi. Nel caso in cui queste caratteristiche non corrispondano a quelle del vostro hotel, dovreste consultare ancora una volta il precedente capitolo «La scelta del SAQ corretto» per determinare la categoria SAQ più adatta a voi oppure chiedere chiarimenti alla vostra banca acquirer. È importante determinare per prima cosa la categoria corretta per il vostro hotel, poiché le misure di seguito descritte sono complete solamente per ambienti di lavoro corrispondenti alla categoria B. Potete trovare il SAQ adeguato ai vostri processi aziendali presso il vostro acquirer, oppure scaricarlo dal sito del PCI SSC all'indirizzo Accesso alle informazioni delle carte di credito Rischio potenziale L'accesso ai dati delle carte di credito dovrebbe essere consentito esclusivamente a quei collaboratori che ne hanno bisogno per la loro attività. Se aumenta il numero di persone che hanno accesso a dati sensibili, aumenta naturalmente anche il rischio che questi ultimi vengano trafugati. Ciò non deve dipendere necessariamente da un impiegato malintenzionato ma può avvenire anche semplicemente per ignoranza sulle corrette modalità di trattamento delle informazioni sensibili. 9/25

10 Misure I diritti di accesso devono essere assegnati in maniera tale che ciascun collaboratore disponga esclusivamente dei diritti necessari per espletare i propri compiti. Ciò vale sia per l'accesso ai computer sia per le possibilità di accesso fisico ad armadi, cassetti o stanze. Una password dovrebbe essere nota solamente a quei collaboratori che realmente necessitano dell'accesso al computer. Parimenti, le chiavi dei luoghi dove vengono custodite le informazioni delle carte di credito dovrebbero essere consegnate solamente a quei collaboratori che ne hanno bisogno per le proprie mansioni. Ciò vale per tutti i luoghi di custodia, ovvero, ad esempio, per l'armadio nel back office o nel reparto contabilità così come per il cassetto alla reception. Nel caso in cui un collaboratore lasci l'hotel, è necessario verificare se disponeva di speciali diritti di accesso. Nel caso in cui avesse accesso a un computer, è necessario modificare la relativa password. Ovviamente bisogna anche chiedere la restituzione delle chiavi precedentemente consegnate. Compito Stabilire quali collaboratori hanno accesso ai contenitori di informazioni sensibili sulle carte di credito in formato cartaceo 3.3. Gestione delle Rischio potenziale Spesso i clienti spediscono all'hotel un contenente i dati della propria carta di credito, ad esempio nell'ambito di una prenotazione. Inizialmente tale è pertanto visibile da tutti coloro i quali hanno accesso al computer in questione. Nota: in questa sede descriviamo solamente il caso in cui un cliente vi invii informazioni sulla propria carta di credito in un di prenotazione senza che voi lo abbiate richiesto. Qualora si tratti tuttavia di un regolare processo aziendale da voi richiesto, potete concludere qui lo svolgimento del presente elenco di misure. Rientrate nel questionario di autovalutazione D e dovete pertanto soddisfare criteri di sicurezza notevolmente più ampi. In tale eventualità, dovreste richiedere al vostro acquirer un supporto professionale. Misure Immediatamente dopo la ricezione dell' , quest'ultima dovrebbe essere cancellata. Bisogna accertarsi che sia rimossa anche dal cestino e/o dalla cartella "Posta eliminata" e che non esista alcuna copia del messaggio memorizzata su un server centrale ai fini di archiviazione. Qualora abbiate bisogno delle informazioni contenute nel messaggio, si consiglia di stamparlo e di proseguire nell'evasione della richiesta esclusivamente su carta. Trovate maggiori informazioni sulla gestione delle stampe nel prossimo capitolo. Compito Istruire il personale con accesso ai computer sulla corretta gestione delle 10/25

11 3.4. Gestione di stampe e ricevute cartacee Rischio potenziale Tipicamente, in un hotel le informazioni delle carte di credito sono riportate su un gran numero di documenti cartacei, fra i quali, in particolare, stampe, fax e ricevute del terminale di pagamento. Qualora tali documenti non vengano gestiti con accortezza, le informazioni ivi contenute rappresentano una facile preda per impiegati malintenzionati. Misure Ovunque vengano trattate informazioni su carte di credito in formato cartaceo, queste ultime devono essere custodite in armadi o cassetti chiusi a chiave. Stampe e ricevute non devono ad esempio mai essere impilate bene in vista alla reception. Tali documenti devono essere classificati in generale come confidenziali e il personale che vi entra in contatto deve essere istruito in merito alle informazioni sensibili che essi contengono. Lo standard PCI DSS proibisce ogni forma di archiviazione dei cosiddetti dati sensibili di autenticazione, che nel caso delle carte di credito comprendono fra l'altro il codice di verifica e il PIN. Di regola, tuttavia, l'albergatore non ha mai accesso al PIN. Qualora però l' di un cliente contenga ad esempio anche il suo codice di verifica quest'ultimo deve essere reso illeggibile (annerito) anche sulla stampa. Inoltre, dovrebbero avere accesso alle ricevute solo i collaboratori che ne hanno bisogno per l'espletamento delle proprie mansioni. Per questo motivo è necessario controllare severamente e registrare per iscritto chi dispone di una chiave per i luoghi dove vengono custodite le informazioni. Al momento dello smaltimento di stampe, ricevute e altri documenti cartacei contenenti dati delle carte di credito è necessario accertarsi che questi vengano effettivamente distrutti e non possano essere ripristinati. Devono finire nel tritadocumenti e non nel semplice cestino. Mediante il cosiddetto cross-cut i documenti vengono sminuzzati in maniera tale da rendere impossibile l'utilizzo delle informazioni nelle singole parti. Per questo motivo, se si provvede autonomamente alla distruzione dei documenti, bisogna accertarsi di acquistare un tritadocumenti che supporti questa modalità di funzionamento. La norma DIN definisce cinque livelli di sicurezza. Ai fini di una distruzione sicura delle informazioni sensibili si raccomanda almeno un tritadocumenti di livello 3. Se si commissiona lo smaltimento a un operatore esterno è necessario accertarsi che quest'ultimo assuma la responsabilità della corretta distruzione dei documenti. Questo aspetto dovrebbe essere parte integrante del contratto stipulato con l'operatore in questione. Spesso in una situazione del genere i documenti non sono distrutti immediatamente ma vengono prima raccolti. A tal fine, è necessario proteggere da accessi non autorizzati il contenitore in cui vengono custoditi i documenti. Nel caso in cui, ad esempio, si tratti di un armadio, quest'ultimo deve essere perlomeno dotato di una serratura. Compiti Custodire sotto chiave stampe, fax e ricevute contenenti informazioni su carte di credito Le informazioni altamente sensibili sulle stampe devono essere rese illeggibili per sicurezza Informare il personale sulla corretta modalità di gestione di stampe e ricevute cartacee Durante lo smaltimento i dati delle carte di credito vengono distrutti definitivamente L'operatore incaricato provvede a uno smaltimento regolamentare e se ne assume la responsabilità 11/25

12 3.5. Il terminale di pagamento Rischio potenziale Nel caso in cui l'archiviazione elettronica delle informazioni sulle carte di credito non sia assolutamente necessaria, bisognerebbe in genere farne sempre a meno. Le misure qui descritte (SAQ categoria B) partono dal presupposto che non venga archiviato in forma digitale alcun dato delle carte di credito. In caso di dispositivi meno recenti, è possibile che i dati delle carte vengano memorizzati. Con i terminali più moderni non dovrebbe più essere così. Oggigiorno i dispositivi dovrebbero essere inoltre al sicuro da eventuali tentativi di manipolazione. Spesso sul terminale di pagamento viene apposto un relativo sigillo di sicurezza. Ciò è dovuto al fatto che in passato ci sono stati furti di informazioni mediante terminali manomessi. Misure Qualora non siate sicuri se il terminale di pagamento da voi impiegato sia a prova di manomissione o se memorizzi o meno i dati delle carte, dovreste chiedere all'operatore che ve lo ha messo a disposizione se il terminale soddisfa gli standard di sicurezza. Compiti È necessario accertarsi che i terminali di pagamento siano a prova di sostituzione, manomissione o danneggiamento Chiarire se tutto il personale è stato o sarà istruito al fine di rilevare tali modifiche Tutti i terminali vengono elencati in una lista che comprende l'ubicazione, il numero di serie e il produttore. Il personale viene istruito al fine di rilevare danneggiamenti o modifiche evidenti sui terminali. Viene svolta un'ispezione periodica di tutti i dispositivi al fine di verificarne e garantirne la sicurezza Contattare il fornitore o il produttore del terminale impiegato (oppure verificare la certificazione del dispositivo sul sito del PCI Council) Chiarire se il proprio terminale soddisfa gli standard di sicurezza Chiarire se il proprio terminale è appositamente protetto contro le manomissioni Chiarire se il proprio terminale memorizza i dati delle carte di credito In caso affermativo: chiarire se queste possono essere cancellate in sicurezza 12/25

13 3.6. Documenti di sicurezza Lo standard PCI richiede la redazione e l'aggiornamento di determinati documenti mirati al mantenimento della visione d'insieme sul rispetto dei diversi requisiti. La documentazione scritta rappresenta inoltre il miglior modo per poter dimostrare in un secondo momento la conformità PCI nei confronti di terzi. Si raccomanda pertanto di tenere una documentazione concisa e pragmatica sui seguenti aspetti. Direttiva sulla sicurezza delle informazioni Una direttiva sulla sicurezza delle informazioni dovrebbe descrivere la gestione presso l'hotel di tutti gli a- spetti critici sotto il profilo della sicurezza. Lo standard PCI DSS non richiede a tal fine la redazione di un opera complessa di consultazione; è sufficiente che siano affrontati brevemente tutti i temi rilevanti per la sicurezza. Ciò riguarda in primo luogo la gestione sicura delle informazioni delle carte di credito, ma anche l'uso dei computer e dei software installati sugli stessi. Nello specifico, è necessario segnalare al personale che le informazioni delle carte di credito non devono mai essere inviate via senza protezioni. Per la comunicazione vengono utilizzate spesso le cosiddette tecnologie di messaggistica per utenti finali, che tuttavia non offrono la possibilità di proteggere adeguatamente i dati trasmessi. Per questo motivo tali tecnologie non devono in alcun caso essere utilizzate per la spedizione di dati di carte di credito. Il concetto di tecnologie per utenti finali comprende in generale le non cifrate, i software di messaggistica istantanea e i programmi di chat, come ad esempio ICQ o Skype, ma anche Dropbox, Cloud e simili. I messaggi inviati tramite questi canali possono essere facilmente intercettati e visualizzati mediante software liberamente disponibili su Internet poiché, nella maggior parte dei casi, tali programmi non offrono alcuna opzione di codifica dei messaggi. In considerazione del maggiore rischio che comportano, bisognerebbe rinunciare del tutto all'uso di software che trasmettono i messaggi senza codifica. La cosa migliore è stabilirlo in un'istruzione di lavoro che proibisca il ricorso a tecnologie a rischio. Affinché il personale comprenda il motivo per cui è necessario rinunciarvi, è bene segnalare i pericoli ad esse collegati. Bisogna richiamare l'attenzione dei collaboratori sul fatto che la sicurezza dei dati delle carte di credito dei vostri clienti contribuisce in misura determinante al successo aziendale a lungo termine ed è quindi nel loro stesso interesse. Se possibile, dovrebbe essere offerto ai collaboratori un training sulla sicurezza. Una sufficiente sensibilizzazione può tuttavia essere ottenuta anche solo mediante appositi poster o salvaschermo sul posto di lavoro. Per tale motivo, la direttiva sulla sicurezza delle informazioni dovrebbe essere consegnata a ciascun collaboratore. Una volta all'anno la direttiva dovrebbe essere controllata sotto il profilo della necessità di aggiornamento, ed eventualmente modificata nel caso in cui ci siano stati dei cambiamenti. Istruzione di lavoro per il personale con accesso ai dati delle carte di credito L'istruzione di lavoro per i collaboratori con accesso ai dati delle carte di credito deve ricordare loro che hanno a che fare con informazioni sensibili, indicandone le corrette modalità di gestione. Ciò comprende i contenuti dei capitoli «Gestione delle » e «Gestione di stampe e ricevute cartacee». Elenco delle autorizzazioni di accesso L'elenco delle autorizzazioni di accesso dovrebbe riportare i nomi dei collaboratori che utilizzano i computer con caselle di posta elettronica e/o che dispongono di una chiave dei luoghi dove sono custodite stampe e ricevute cartacee. In combinazione con il piano di servizio sarà in questo modo possibile ricostruire chi aveva accesso alle informazioni delle carte di credito nei vari momenti. 13/25

14 Elenco dei fornitori esterni di servizi Nel modulo SAQ B viene data una particolare importanza al rapporto con i fornitori di servizi poiché a questi vengono affidati processi di pagamento fondamentali. In presenza di contratti con fornitori esterni di servizi che entrano in contatto con i dati delle carte di credito, è necessario informare gli stessi in merito alla sensibilità dei dati. Detti contratti dovrebbero contemplare la loro corresponsabilità per la sicurezza dei dati delle carte di credito dal momento in cui vi entrano in contatto. Ad esempio, a un operatore esterno incaricato della distruzione dei dati delle carte di credito deve essere chiara la sua responsabilità per uno smaltimento regolamentare. Un elenco comprendente tutti i fornitori esterni di servizi, direttamente o indirettamente coinvolti nel processo di pagamento, contribuisce a mantenere la visione d'insieme. Tale elenco deve essere costantemente aggiornato. In caso di vincoli contrattuali con fornitori di servizi, occorre distinguere chiaramente quali compiti spettano al fornitore, che di conseguenza ne risponde. Almeno una volta l'anno è necessario verificare la conformità PCI dei fornitori di servizi. Se conoscete lo stato di conformità PCI DSS del vostro provider di servizi potete essere sicuri che è soggetto agli stessi requisiti posti alla vostra azienda. Le maggiori società di carte di credito dispongono di propri elenchi dai quali è possibile stabilire la conformità PCI DSS di fornitori e produttori per quanto riguarda le operazioni con carta di credito. Tali elenchi sono resi disponibili sui relativi siti e possono essere consultati da chiunque. La lista di MasterCard è reperibile al seguente indirizzo: Al seguente link trovate invece l'elenco dei fornitori di servizi certificati da Visa Europe: retailers/payment_security/service_providers.aspx Specialmente se trattate i dati delle carte di credito mediante applicazioni di pagamento (e rientrate quindi nel campo di applicazione del modulo SAQ C), sulle pagine web del PCI Council potete verificare se il software da voi impiegato soddisfa il PCI Payment Application Data Security Standard (PCI PA-DSS). L'uso di software certificati agevola l'attuazione delle misure per ottenere la conformità PCI DSS. Per verificare se un'applicazione o una sua specifica versione è certificata ai sensi dello standard PCI PA-DSS, consultate la seguente pagina sul sito del PCI Council: Sempre sul sito del PCI Council potete anche verificare se il terminale da voi impiegato per il trattamento delle carte di credito è certificato: Lo stato di conformità PCI DSS dei fornitori di servizio deve essere verificato una volta l'anno. Compiti Redazione di una direttiva sulla sicurezza delle informazioni Redazione di un'istruzione di lavoro per il personale con accesso ai dati delle carte di credito Creazione di un elenco delle autorizzazioni di accesso Creazione di un elenco dei fornitori esterni di servizi Verifica dello stato di conformità PCI DSS dei fornitori di servizi Creazione di un elenco dei requisiti PCI soddisfatti dai fornitori di servizi 14/25

15 3.7. Sicurezza duratura per i dati delle carte di credito Per le aziende che trattano le carte di credito esclusivamente tramite terminali con connessione telefonica e ricevute cartacee, le misure qui descritte rappresentano un livello minimo di sicurezza per i dati delle carte di credito. In caso di rinuncia all'archiviazione elettronica delle informazioni delle carte di credito, attuando tutte le misure si ottiene in modo efficiente e fattibile una protezione di base. Al fine di mantenere la conformità PCI, il modulo SAQ deve essere compilato una volta l'anno ed eventualmente presentato all'acquirer. Ciò consente anche di verificare le misure introdotte e/o di reagire a eventuali cambiamenti avvenuti nei processi aziendali, adeguando all'occorrenza la categoria del SAQ. L'ottenimento e/o la dimostrazione della conformità PCI non bastano tuttavia di per sé a proteggere i dati delle carte di credito sul lungo periodo. Una protezione per gli utenti duratura si ottiene solamente se le misure vengono anche «vissute». A tale scopo tutti i soggetti coinvolti devono remare insieme nella stessa direzione. In fin dei conti la protezione dei dati dei clienti non dovrebbe avvenire solamente in considerazione delle possibili richieste di risarcimento, ma dovrebbe nascere anche dal desiderio di assicurare a lungo termine le proprie attività e competitività future Allegato A: Lista di controllo SAQ B Il flusso di carte di credito presso l'hotel è noto? Le carte di credito vengono gestite esclusivamente su un terminale con connessione telefonica e per il resto solo su carta? Ad avere accesso ai dati delle carte di credito sono solo i collaboratori che ne hanno bisogno per espletare le proprie mansioni? Ad avere accesso a un computer sono solo i collaboratori che ne hanno effettivamente bisogno? A disporre delle chiavi dei luoghi dove sono custoditi i dati delle carte di credito sono solo i collaboratori che ne hanno effettivamente bisogno? I collaboratori sono stati istruiti in merito alla gestione sicura delle contenenti dati di carte di credito? I collaboratori sono stati istruiti in merito alla gestione sicura di stampe e ricevute cartacee contenenti dati di carte di credito? Il personale è consapevole del fatto che le informazioni sulle carte di credito rappresentano dati sensibili? Stampe, fax e ricevute contenenti informazioni sulle carte di credito sono custoditi sotto chiave? Le informazioni altamente sensibili sulle stampe vengono rese illeggibili? 15/25

16 È sicuro che i dati delle carte di credito vengano distrutti definitivamente al momento del loro smaltimento? È garantito per contratto che l'operatore incaricato effettui uno smaltimento regolamentare e se ne assuma la responsabilità? Da chiarire con il fornitore di servizi: il terminale impiegato soddisfa gli standard di sicurezza delle carte di credito (in alternativa verifica della certificazione del dispositivo sul sito del PCI Council)? Il terminale memorizza i dati delle carte di credito? In caso affermativo: è possibile cancellarli in modo sicuro? Il terminale è a prova di manomissioni? È disponibile una direttiva sulla sicurezza delle informazioni? I relativi contenuti sono chiari a tutti i collaboratori? È disponibile un'istruzione di lavoro per il personale con accesso ai dati delle carte di credito? È disponibile un elenco delle autorizzazioni di accesso? Esiste un rapporto contrattuale con i fornitori di servizi che entrano in contatto con i dati delle carte di credito? Esiste un elenco di tali fornitori di servizi in cui siano suddivisi i compiti di questi ultimi e della propria azienda? Verifica dello stato di conformità PCI DSS dei fornitori di servizi I fornitori di servizi sono stati sensibilizzati sul tema della gestione dei dati delle carte di credito? La necessità di aggiornamento di misure e documenti viene verificata una volta l'anno? Esiste un elenco di tutti i terminali di pagamento con i relativi numeri di serie? I terminali di pagamento vengono controllati periodicamente per escludere mancanze o manomissioni? 16/25

17 3.9. Allegato B: Lista di controllo Settori di trattamento delle carte di credito Processo Area Mezzo contenente i dati Trattamento dei dati 17/25

18 4. Misure per la PCI DSS Compliance per gli hotel (SAQ B-IP) Il vostro hotel utilizza esclusivamente dispositivi stand-alone certificati PTS (POI) e collegati mediante il protocollo di trasmissione IP al processor che riceve i dati del pagamento. Tali dispositivi indipendenti sono validati dal programma PTS POI. ConCardis può indicarvi modelli idonei. I dispositivi POI stand-alone collegati tramite IP non devono essere connessi con nessun'altra rete del proprio ambiente (ciò è possibile ad esempio mediante una segmentazione della rete e un firewall). L'unica possibilità di trasmettere i dati delle carte è il collegamento del dispositivo certificato PTS con il processor del pagamento. Il dispositivo POI non richiede nessun altro apparecchio (ad es. computer, cellulari, casse ecc.) per il collegamento al processor del pagamento. Il vostro hotel tiene esclusivamente report stampati o copie cartacee delle fatture con i dati delle carte e questa documentazione elettronica non viene ricevuta elettronicamente. Il vostro hotel non memorizza i dati delle carte in formato elettronico. Questo modulo SAQ non vale per dispositivi SCR (Secure Card Reader) Campo di applicazione I contenuti di seguito affrontati corrispondono a quelli del modulo SAQ di categoria B-IP e coincidono sotto molti aspetti con quelli del modulo SAQ B. La differenza consiste principalmente nei dispositivi basati sul protocollo IP, che devono essere strettamente separati dagli altri sistemi informatici dell'hotel. A ciò si può aggiungere eventualmente l'obbligo di far verificare trimestralmente la vulnerabilità della propria rete da parte di un ASV certificato. A tal proposito si veda in particolare l'eccezione indicata al punto 4.3. «ASV SCAN». Potete trovare un ASV sul sito oppure all'indirizzo Il SAQ B-IP si riferisce a un ambiente di lavoro in cui i dati delle carte di credito vengono inoltrati direttamente al processor esclusivamente mediante terminali certificati PTS, senza essere memorizzati in formato elettronico, e sono disponibili solo in formato cartaceo. Nel caso in cui queste caratteristiche non corrispondano a quelle del vostro hotel, dovreste consultare ancora una volta il precedente capitolo «La scelta del SAQ corretto» per determinare la categoria SAQ più adatta a voi oppure chiedere chiarimenti alla vostra banca acquirer. È importante determinare per prima cosa la categoria corretta per il vostro hotel poiché le misure di seguito descritte sono complete solamente per ambienti di lavoro corrispondenti alla categoria B-IP. Potete richiedere il SAQ adeguato ai vostri processi aziendali a ConCardis, oppure scaricarlo dal sito del PCI SSC all'indirizzo 18/25

19 Segmentazione di rete: la categoria SAQ B-IP richiede una rigida separazione dei sistemi di pagamento dagli altri luoghi e sistemi dell'hotel. In caso di segmentazione insufficiente della rete, i dati dei terminali PTS possono finire sulla rete dell'hotel, offrendo agli hacker la possibilità di trafugarli o inoltrarli (v. anche pag. 10). Il presupposto per una segmentazione efficace è avere una completa visione d'insieme della propria rete con tutti i suoi componenti e specialmente dei punti di entrata e uscita verso reti non sicure (Internet). Dopo ogni modifica l'efficacia della segmentazione deve essere nuovamente verificata. Un fornitore di servizi IT può rivelarsi molto prezioso in questo caso. Compiti Esiste uno schema aggiornato della rete? Esiste un'effettiva segmentazione della rete fra il sistema di pagamento e la restante rete dell'hotel? Si utilizza un firewall? 4.2. Accesso alle informazioni delle carte di credito Rischio potenziale L'accesso ai dati delle carte di credito dovrebbe essere consentito esclusivamente a quei collaboratori che ne hanno bisogno per la loro attività. Se aumenta il numero di persone che hanno accesso a dati sensibili, aumenta naturalmente anche il rischio che questi ultimi vengano trafugati. Ciò non deve dipendere necessariamente da un impiegato malintenzionato ma può avvenire anche semplicemente per ignoranza sulle corrette modalità di trattamento delle informazioni sensibili. Misure I diritti di accesso devono essere assegnati in maniera tale che ciascun collaboratore disponga esclusivamente dei diritti necessari per espletare i propri compiti. Ciò vale per le possibilità di accesso fisico ad armadi, cassetti o stanze. Le chiavi dei luoghi dove vengono custodite le informazioni delle carte di credito dovrebbero essere consegnate solamente a quei collaboratori che ne hanno bisogno per le proprie mansioni. Ciò vale per tutti i luoghi di custodia, ovvero, ad esempio, per l'armadio nel back office o nel reparto contabilità così come per il cassetto alla reception. Se un collaboratore lascia l'hotel, ovviamente bisogna anche chiedere la restituzione delle chiavi precedentemente consegnate. Compiti Verificare che tutti i terminali di pagamento siano certificati PTS Stabilire quali collaboratori hanno accesso ai contenitori di informazioni sensibili sulle carte di credito in formato cartaceo 19/25

20 4.3. ASV SCAN L'adempimento della compliance mediante SAQ B-IP può prevedere lo svolgimento dei cosiddetti ASV Scan (ASV = Applied Security Vendor) contro le interfacce pubblicamente accessibili dell'hotel. Per maggiori informazioni in merito consultare la pagina Tali scansioni stabiliscono se la vostra protezione verso l'esterno è efficace. ECCEZIONE: se il vostro firewall non è raggiungibile da Internet e dai terminali di pagamento è consentito solo il traffico in uscita, l'obbligo di scansione viene meno. Un ASV Scan una tantum del vostro ambiente di lavoro vi può dare maggiore sicurezza Gestione delle Rischio potenziale Spesso i clienti spediscono all'hotel un contenente i dati della propria carta di credito, ad esempio nell'ambito di una prenotazione. Inizialmente tale è pertanto visibile da tutti coloro i quali hanno accesso al computer in questione. Nota: in questa sede descriviamo solamente il caso in cui un cliente vi invii informazioni sulla propria carta di credito in un di prenotazione senza che voi lo abbiate richiesto. Qualora si tratti tuttavia di un regolare processo aziendale da voi richiesto, potete concludere qui lo svolgimento del presente elenco di misure. Rientrate nel questionario di autovalutazione D e dovete pertanto soddisfare criteri di sicurezza notevolmente più ampi. In tale eventualità, dovreste richiedere al vostro acquirer un supporto professionale. Misure Immediatamente dopo la ricezione dell' , quest'ultima dovrebbe essere cancellata. Bisogna accertarsi che sia rimossa anche dal cestino e/o dalla cartella "Posta eliminata" e che non esista alcuna copia del messaggio memorizzata su un server centrale ai fini di archiviazione. Qualora abbiate bisogno delle informazioni contenute nel messaggio, si consiglia di stamparlo e di proseguire nell'evasione della richiesta esclusivamente su carta. Trovate maggiori informazioni sulla gestione delle stampe nel prossimo capitolo. Compito Istruire il personale con accesso ai computer sulla corretta gestione delle 20/25