PCI DSS ISTRUZIONI OPERATIVE

Транскрипт

1 PCI DSS ISTRUZIONI OPERATIVE ver febbraio 2014

2 COS E IL PCI SSC (SECURITY STANDARD COUNCIL) L'organizzazione è stata fondata da Visa, Inc., MasterCard Worldwide, American Express, Discover Financial Services e JCB International. E un organismo indipendente che supervisiona lo sviluppo e la gestione degli standard industriali di sicurezza a livello globale relativi al settore delle carte di pagamento. PCI Council svolge la propria missione attraverso : miglioramento della conoscenza degli standard di sicurezza erogazione di formazione appropriata RISORSE EVOLUZIONE 2004 A Dicembre viene pubblicata la versione 1.0 della PCI-DSS, gestita da VISA e MasterCard 2006 VISA, MasterCard, American Express, Discover e JCB fondano il PCI-SSC pubblicando la versione 1.1 della PCI- DSS e la versione 1.0 della PA-DSS 2008 E resa pubblica la versione 1.2 della PCI-DSS 2010 Sono pubblicate la versione 2.0 della PCI-DSS, la versione 1.0 della PCI-PTS e la versione 2.0 della PA-DSS 2013 A Novembre viene pubblicata la versione 3.0 della PCI-DSS, gestita da VISA e MasterCard PCI DSS, PCI PTS, PCI PA-DSS, P2PE, PIN Security and supporting documents Roaster of QSAs, ASVs, PA-QSAs, validated payment applications, PTS Devices, and P2PE solutions PCI Security Standards Council FAQs Education & Outreach programs Participating Organization membership, Community Meetings, Feedback

3 RUOLI E RESPONSABILITA DEL COUNCIL Definire e aggiornare gli standard (PCI DSS, PA-DSS, PTS, P2PE e PIN Security Standard) e la documentazione di supporto; Definisce e implementa i requisiti di validazione per certificare il personale specialistico: QSA PA-QSA, ASV e ISA; Approva le organizzazioni e il personale abilitato ad eseguire gli assessment (PCI-DSS e PA-DSS) e le scansioni (ASV); Pubblica, sul proprio sito, la lista delle società QSA, PA-QSA e ASV; Mantiene una lista delle applicazioni validate Mantiene una lista dei dispositivi approvati secondo lo standard PIN Transaction; Mantiene una lista delle soluzioni conformi allo standard P2PE Verifica con un processo di Quality Assurance i report ricevuti per le fasi di certificazione (ROCs, ROVs, ASV scan report); Offre i processi di formazione per i QSA, PA-QSA, ASV e ISA Fornisce indicazioni e linee guida su tecnologie specifiche; Promuove a livello globale la conoscenza degli standard

4 AMBITI DI APPLICAZIONE Gli standard di sicurezza PCI DSS si applicano a tutte le organizzazioni che memorizzano processano trasmettono dati dei titolari di carte di pagamento Tali standard si applicano a tutti i componenti si sistema, che vengono definiti come qualsiasi componente di rete, server o applicazione incluso o connesso all ambiente dei dati dei titolari di carta, che è costituito dalla parte di rete che contiene i dati sensibili La segmentazione della rete non è un requisito PCI DSS, tuttavia un adeguata segmentazione della rete (nota con il nome di rete semplice) consente di escludere dalla valutazione PCI DSS le parti della rete non coinvolte nella gestione dei dati sensibili

5 APPLICABILITA E DATI Lo standard PCI DSS si applica sempre dove I dati vengono salvati, trasmessi o elaborati. I dati consistono nei dati più sensibili del titolare, che sono di seguito indicati. I DATI DEI TITOLARI DI CARTA COMPRENDONO: PAN (Primary Account Number) Nome titolare di carta Data di scadenza Codice di servizio I DATI SENSIBILI DI AUTENTICAZIONE Dati completi della striscia magnetica o equivalenti sul chip CAV2/CVC2/CVV2/CID PIN/Blocchi PIN Il PAN costituisce il fattore determinante nell'applicabilità dei requisiti PCI DSS. Gli standard PCI DSS sono applicabili se viene memorizzato, elaborato o trasmesso un PAN (Primary Account Number, numero account primario). Se il PAN non viene memorizzato, elaborato o trasmesso, i requisiti PCI DSS non sono validi.

6 ECOSISTEMA DEGLI STANDARD & RELAZIONI PCI-PTS si applica ai dispositivi POS, Pin Pad, HSM, UPT; lo standard definisce i requisiti per la rilevazione delle manomissioni, i processi crittografici e in generale tutti i requisiti necessari per proteggere il PIN (cifrato) che viene passato dalle applicazioni di pagamento o dai terminali hardware. PCI PA-DSS si applica alle applicazioni commerciali sviluppate da terze parti che gestiscono i processi di autorizzazione e/o settlement delle transazioni (POS, shopping carts, ecc). PCI-DSS applicabile ai soggetti che trattano dati delle carte dei Brand, se legata agli altri standard si limita a controllarne il corretto impiego. Lo standard definisce tutti i requisiti necessari alla protezione di tutte le componenti di sistema inclusi o connessi all ambiente dei titolari carta (Cardholder Date Environemnt CDE). PCI P2PE si applica ai processi di encryption, decryption e gestione delle chiave crittografiche tra apparati sicuri (hardware to hardware). P2PE

7 CICLO DI VITA DEGLI STANDARD PCI DSS Gli standard PCI- DSS e PA-DSS sono regolarmente aggiornati e sottoposti a revisioni e commenti che prevede un ciclo di 36 mesi. La versione dello standard PCI-DSS attualmente in corso di validità è la 2.0, emessa nel

8 CICLO DI VITA DEGLI STANDARD PCI DSS PCI DSS è un processo in continua evoluzione che prevede : individuazione dei gap rispetto ai requisiti (assessment) azioni per superare i gap individuati (remediation)* verifica della realizzazione delle azioni (reporting) Il mancato adeguamento ai requisiti dello standard comporta l adozione di penali in capo al merchant, e in caso di compromissione dei dati di carta le penali vengono calcolate in relazione al numero di carte compromesse. * Fra le azioni si ricomprende la stesura della normativa interna

9 COME CERTIFICARSI Per raggiungere la Compliance è necessario : compilare il SAQ (Self-Assessment Questionnaire) individuare i gap e, se presenti, e definire conseguentemente un piano di rimedio* realizzare le azioni previste nel piano di rimedio far compilare il ROC (Request of Compliance) da parte di un QSA** - solo per esercenti classificati al livello 1 presentare la documentazione a PCI Council *** * PCI Council mette a disposizione un documento - Prioritized Approach for PCI DSS Version per agevolare il merchant ad individuare gli eventuali GAP e stabilire un ordine di priorità nel porre in essere i piani di rimedio ** Qualified Security Assessor : in realtà il ROC può essere compilato anche da qualcun altro, tuttavia solo i QSA che hanno seguito il corso di PCI Council sono in grado di compilare il ROC correttamente *** Fra la documentazione è richiesto anche l esito di uno scan della rete da parte di ASV (Approved Scan Vendor)

10 CLASSIFICAZIONE DEI MERCHANT I merchant vengono classificati in base al numero di transazione annue eseguite per singolo brand Level /Tier 1 Merchant criteria Esercenti che processano più di 6 milioni di transazioni di carte Visa per anno (su tutti i canali*) o esercenti multinazionali che sono identificati di livello 1 in un altra nazione** Validation Requirements ROC (Report Of Compliance) annuale on site audit *** scan trimestrale da parte di un ASV**** certificato Modulo di attestazione di Compliance 2 Esercenti che processano fra 1 milione e 6 milioni di transazioni di carte Visa per anno (su tutti i canali*) SAQ (Self-Assessment Questionnaire) scan trimestrale da parte di un ASV**** certificato Modulo di attestazione di Compliance 3 Esercenti che processano fra e 1 milione di transazioni di carte Visa per anno (e-commerce) SAQ (Self-Assessment Questionnaire) scan trimestrale da parte di un ASV**** certificato Modulo di attestazione di Compliance 4 Tutti gli altri esercenti che non rientrano nelle precedenti categorie SAQ (raccomandato, non obbligatorio) scan trimestrale da parte di un ASV**** certificato, se applicabile Requisiti di Compliance stabiliti dall Acquirer * Per canali si intendono POS fisici e virtuali ** L altra nazione deve essere all interno di Visa Europe *** Fatto da un QSA certificato o da una risorsa interna qualificata (da comunicare prima a Visa) **** ASV : Approved Scan Vendor

11 REQUISITI DI PCI-DSS

12 PRO E CONTRO DI PCI-DSS Vantaggi Opportunità per focalizzarsi sulla sicurezza Allineata alle best practices di sicurezza Possibilità di ottenere migliori condizioni dagli Acquirer Ritorno di immagine verso i Clienti (finali e non) Svantaggi Necessità di adeguamento costante ai livelli di sicurezza; Investimenti aggiuntivi per l azienda Possibilità di ricevere sanzioni dai Brand

13 PER SAPERNE DI PIU Per maggiori informazioni, visita i siti : PCI COUNCIL AMERICAN EXPRESS DISCOVER FINANCIAL SERVICES JCB INTERNATIONAL MASTERCARD VISA