PCI DSS ISTRUZIONI OPERATIVE



Похожие документы
PARTE 1. La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone

PCI-DSS. Sicurezza dei dati delle carte di pagamento

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS)

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS)

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS)

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 3.0 alla 3.

QUIPAGO - MODALITÀ PAYMENT

Settore delle carte di pagamento (PCI) Standard di protezione dei dati Questionario di autovalutazione P2PE-HW e Attestato di conformità

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione

Il servizio di E-Commerce

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Requisiti e procedure di valutazione della sicurezza

Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento (PA-DSS)

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

Politica per la Sicurezza

Volete essere sicuri di essere conformi PCI DSS e di ridurre il rischio di frodi?

CSQ È UN SISTEMA DI CERTIFICAZIONE DELL IMQ, GESTITO IN COLLABORAZIONE CON CESI E ISCTI. Via Don Calabria 2 Milano

Istruzioni e regole del servizio 3D Secure. Allegato tecnico e-commerce

Attività relative al primo anno

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

VALUTAZIONE DEL LIVELLO DI SICUREZZA

Work di American Express

AZIENDA SANITARIA LOCALE TO1 - SC MEDICINA LEGALE - OBITORIO CIVICO

Attività federale di marketing

EA 03 Prospetto economico degli oneri complessivi 1

BOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS

Revisione 00 Data revisione: 17/11/2010 ISO 14001:2004. Emissione RSGA Prima Approvazione DIR GIUNTA. Approvazione revisioni

Il modello di ottimizzazione SAM

MANDATO DI AUDIT DI GRUPPO

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.

MANDATO INTERNAL AUDIT

Policy sulla Gestione delle Informazioni

Linee guida per l assicurazione della qualità nelle piccole e medie imprese di revisione

Una rivoluzione importante. Sottoscrizione e trasporto di un documento digitale

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

Compliance Sistema di Governo Il Sistema di Compliance di SIA

Sede Indirizzo Via XX Settembre 98/E ROMA. Telefono Fax

<Insert Picture Here> Security Summit 2011 Milano

REGOLAMENTO PER LA VERIFICA DEI RAPPORTI DI SOSTENIBILITÀ

UTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI

Master in Europrogettazione

Master in Europrogettazione

IL SISTEMA DI GESTIONE AMBIENTALE PER UN COMUNE

Allegato 17 Check list quality review

UNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE

Qualità è il grado in cui un insieme di caratteristiche intrinseche soddisfa i requisiti (UNI EN ISO 9000:2005)

Offre da più di 40 anni soluzioni in settori critici come quello governativo, finanziario e della difesa.

Bureau Veritas. 23 gennaio Maurizio Giangreco (Team Leader Qualità) For the benefit of business and people

CARTA DEI SERVIZI MEDEA

LE NORME DELLA SERIE EN 45000

REQUISITI DEI PROCESSI ASSISTENZIALI LIVELLO DI ASSISTENZA: REQUISITI ULTERIORI DI QUALITA SPECIFICI

Payment Card Industry (PCI) Data Security Standard Questionario di autovalutazione A e Attestato di conformità

SISTEMA DI GESTIONE PER LA QUALITA Capitolo 4

Piattaforma Informatica di Knowledge Risk. Gestione del Sistema Qualità, Sicurezza e Ambiente di CANTIERE

CERTIFICAZIONE DELLE AZIENDE AI SENSI DEI REGOLAMENTI EUROPEI 303/2008 E 304/2008 I & F BUREAU VERITAS ITALIA

PROXYMA Contrà San Silvestro, Vicenza Tel Fax

La Formazione: elemento chiave nello Sviluppo del Talento. Enzo De Palma Business Development Director

Norme per l organizzazione - ISO serie 9000

Avviso 1/2014 Procedura Caricamento Documentazione con Firma Digitale

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

LINEE GUIDA DEL CoLAP. Legge 4/13 REQUISITI RICHIESTI ALLE ASSOCIAZIONI PER L ISCRIZIONE NELL ELENCO WEB TENUTO DAL MINISTERO DELLO SVILUPPO ECONOMICO

Allegato A: Regole tecniche per la gestione dell identità.

PROCEDURA DI COORDINAMENTO TRA GESTORI DI RETE AI SENSI DEGLI ARTICOLI 34 E 35 DELL ALLEGATO A ALLA DELIBERA ARG/ELT 99/08 (TICA)

Associazione Italiana Information Systems Auditors

Software Servizi Web UOGA

MODELLO PER LO SVILUPPO DEL PRODOTTO

LA SOLUZIONE PROPOSTA E L ATTIVAZIONE DEL SERVIZIO Luisa Semolic Insiel S.p.A.

CSQ È UN SISTEMA DI CERTIFICAZIONE DELL IMQ, GESTITO IN COLLABORAZIONE CON CESI E ISCTI. Via Don Calabria 2 Milano

NOTE TECNICHE allegate al MANUALE OPERATIVO ALLA CLIENTELA PER GLI ADEMPIMENTI VERSO DI ESSA PRESCRITTI IN MATERIA DI FIRMA ELETTRONICA AVANZATA

Lextel Servizi Telematici per l Avvocatura

Gestire le NC, le Azioni Correttive e Preventive, il Miglioramento

Regime IVA Moss. Premessa normativa

Procedura di gestione delle verifiche ispettive interne < PQ 03 >

Allegato 3 Sistema per l interscambio dei dati (SID)

PLUS. Syllabus rev. 1.04

IL PROGETTO FORMATIVO PER L ABILITAZIONE PROFESSIONALE A QUALITY MANAGER

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data:

MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.

Effettuare gli audit interni

Oggetto: PROCEDURA DI ISCRIZIONE NELLA LISTA DEGLI STABILIMENTI AUTORIZZATI ALL EXPORT DI CARNI NEGLI STATI UNITI D AMERICA

Esternalizzazione della Funzione Compliance

COMUNE DI SANTA GIUSTINA IN COLLE (Provincia di Padova) INDICE

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

Diventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione.

DBA Group DIAGNOSI ENERGETICHE

PROCEDURA SCR_PG Prestazione del servizio di certificazione del Sistema di Gestione della Qualità in organizzazioni multisite.

visto il trattato sul funzionamento dell Unione europea,

ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza

Regolamento per l iscrizione nel Registro dei CERTIFICATORI ENERGETICI Art. 2 del DD 21 settembre 2009 n. 127

GESTIONE DEI DOCUMENTI, DEI DATI E DELLE REGISTRAZIONI

MANUALE MOODLE STUDENTI. Accesso al Materiale Didattico

1- Corso di IT Strategy

Gestione Operativa e Supporto

MANUALE DELLA QUALITÀ SEZIONE 5.1: FUNZIONAMENTO DEL SISTEMA DI GESTIONE PER LA QUALITÀ

Транскрипт:

PCI DSS ISTRUZIONI OPERATIVE ver febbraio 2014

COS E IL PCI SSC (SECURITY STANDARD COUNCIL) L'organizzazione è stata fondata da Visa, Inc., MasterCard Worldwide, American Express, Discover Financial Services e JCB International. E un organismo indipendente che supervisiona lo sviluppo e la gestione degli standard industriali di sicurezza a livello globale relativi al settore delle carte di pagamento. PCI Council svolge la propria missione attraverso : miglioramento della conoscenza degli standard di sicurezza erogazione di formazione appropriata RISORSE EVOLUZIONE 2004 A Dicembre viene pubblicata la versione 1.0 della PCI-DSS, gestita da VISA e MasterCard 2006 VISA, MasterCard, American Express, Discover e JCB fondano il PCI-SSC pubblicando la versione 1.1 della PCI- DSS e la versione 1.0 della PA-DSS 2008 E resa pubblica la versione 1.2 della PCI-DSS 2010 Sono pubblicate la versione 2.0 della PCI-DSS, la versione 1.0 della PCI-PTS e la versione 2.0 della PA-DSS 2013 A Novembre viene pubblicata la versione 3.0 della PCI-DSS, gestita da VISA e MasterCard PCI DSS, PCI PTS, PCI PA-DSS, P2PE, PIN Security and supporting documents Roaster of QSAs, ASVs, PA-QSAs, validated payment applications, PTS Devices, and P2PE solutions PCI Security Standards Council FAQs Education & Outreach programs Participating Organization membership, Community Meetings, Feedback

RUOLI E RESPONSABILITA DEL COUNCIL Definire e aggiornare gli standard (PCI DSS, PA-DSS, PTS, P2PE e PIN Security Standard) e la documentazione di supporto; Definisce e implementa i requisiti di validazione per certificare il personale specialistico: QSA PA-QSA, ASV e ISA; Approva le organizzazioni e il personale abilitato ad eseguire gli assessment (PCI-DSS e PA-DSS) e le scansioni (ASV); Pubblica, sul proprio sito, la lista delle società QSA, PA-QSA e ASV; Mantiene una lista delle applicazioni validate Mantiene una lista dei dispositivi approvati secondo lo standard PIN Transaction; Mantiene una lista delle soluzioni conformi allo standard P2PE Verifica con un processo di Quality Assurance i report ricevuti per le fasi di certificazione (ROCs, ROVs, ASV scan report); Offre i processi di formazione per i QSA, PA-QSA, ASV e ISA Fornisce indicazioni e linee guida su tecnologie specifiche; Promuove a livello globale la conoscenza degli standard

AMBITI DI APPLICAZIONE Gli standard di sicurezza PCI DSS si applicano a tutte le organizzazioni che memorizzano processano trasmettono dati dei titolari di carte di pagamento Tali standard si applicano a tutti i componenti si sistema, che vengono definiti come qualsiasi componente di rete, server o applicazione incluso o connesso all ambiente dei dati dei titolari di carta, che è costituito dalla parte di rete che contiene i dati sensibili La segmentazione della rete non è un requisito PCI DSS, tuttavia un adeguata segmentazione della rete (nota con il nome di rete semplice) consente di escludere dalla valutazione PCI DSS le parti della rete non coinvolte nella gestione dei dati sensibili

APPLICABILITA E DATI Lo standard PCI DSS si applica sempre dove I dati vengono salvati, trasmessi o elaborati. I dati consistono nei dati più sensibili del titolare, che sono di seguito indicati. I DATI DEI TITOLARI DI CARTA COMPRENDONO: PAN (Primary Account Number) Nome titolare di carta Data di scadenza Codice di servizio I DATI SENSIBILI DI AUTENTICAZIONE Dati completi della striscia magnetica o equivalenti sul chip CAV2/CVC2/CVV2/CID PIN/Blocchi PIN Il PAN costituisce il fattore determinante nell'applicabilità dei requisiti PCI DSS. Gli standard PCI DSS sono applicabili se viene memorizzato, elaborato o trasmesso un PAN (Primary Account Number, numero account primario). Se il PAN non viene memorizzato, elaborato o trasmesso, i requisiti PCI DSS non sono validi.

ECOSISTEMA DEGLI STANDARD & RELAZIONI PCI-PTS si applica ai dispositivi POS, Pin Pad, HSM, UPT; lo standard definisce i requisiti per la rilevazione delle manomissioni, i processi crittografici e in generale tutti i requisiti necessari per proteggere il PIN (cifrato) che viene passato dalle applicazioni di pagamento o dai terminali hardware. PCI PA-DSS si applica alle applicazioni commerciali sviluppate da terze parti che gestiscono i processi di autorizzazione e/o settlement delle transazioni (POS, shopping carts, ecc). PCI-DSS applicabile ai soggetti che trattano dati delle carte dei Brand, se legata agli altri standard si limita a controllarne il corretto impiego. Lo standard definisce tutti i requisiti necessari alla protezione di tutte le componenti di sistema inclusi o connessi all ambiente dei titolari carta (Cardholder Date Environemnt CDE). PCI P2PE si applica ai processi di encryption, decryption e gestione delle chiave crittografiche tra apparati sicuri (hardware to hardware). P2PE

CICLO DI VITA DEGLI STANDARD PCI DSS Gli standard PCI- DSS e PA-DSS sono regolarmente aggiornati e sottoposti a revisioni e commenti che prevede un ciclo di 36 mesi. La versione dello standard PCI-DSS attualmente in corso di validità è la 2.0, emessa nel 2010. https://www.pcisecuritystandards.org/documents/pci_lifecycle_for_changes_to_dss_and_padss.pdf

CICLO DI VITA DEGLI STANDARD PCI DSS PCI DSS è un processo in continua evoluzione che prevede : individuazione dei gap rispetto ai requisiti (assessment) azioni per superare i gap individuati (remediation)* verifica della realizzazione delle azioni (reporting) Il mancato adeguamento ai requisiti dello standard comporta l adozione di penali in capo al merchant, e in caso di compromissione dei dati di carta le penali vengono calcolate in relazione al numero di carte compromesse. * Fra le azioni si ricomprende la stesura della normativa interna

COME CERTIFICARSI Per raggiungere la Compliance è necessario : compilare il SAQ (Self-Assessment Questionnaire) individuare i gap e, se presenti, e definire conseguentemente un piano di rimedio* realizzare le azioni previste nel piano di rimedio far compilare il ROC (Request of Compliance) da parte di un QSA** - solo per esercenti classificati al livello 1 presentare la documentazione a PCI Council *** * PCI Council mette a disposizione un documento - Prioritized Approach for PCI DSS Version 2.0 - per agevolare il merchant ad individuare gli eventuali GAP e stabilire un ordine di priorità nel porre in essere i piani di rimedio ** Qualified Security Assessor : in realtà il ROC può essere compilato anche da qualcun altro, tuttavia solo i QSA che hanno seguito il corso di PCI Council sono in grado di compilare il ROC correttamente *** Fra la documentazione è richiesto anche l esito di uno scan della rete da parte di ASV (Approved Scan Vendor)

CLASSIFICAZIONE DEI MERCHANT I merchant vengono classificati in base al numero di transazione annue eseguite per singolo brand Level /Tier 1 Merchant criteria Esercenti che processano più di 6 milioni di transazioni di carte Visa per anno (su tutti i canali*) o esercenti multinazionali che sono identificati di livello 1 in un altra nazione** Validation Requirements ROC (Report Of Compliance) annuale on site audit *** scan trimestrale da parte di un ASV**** certificato Modulo di attestazione di Compliance 2 Esercenti che processano fra 1 milione e 6 milioni di transazioni di carte Visa per anno (su tutti i canali*) SAQ (Self-Assessment Questionnaire) scan trimestrale da parte di un ASV**** certificato Modulo di attestazione di Compliance 3 Esercenti che processano fra 20.000 e 1 milione di transazioni di carte Visa per anno (e-commerce) SAQ (Self-Assessment Questionnaire) scan trimestrale da parte di un ASV**** certificato Modulo di attestazione di Compliance 4 Tutti gli altri esercenti che non rientrano nelle precedenti categorie SAQ (raccomandato, non obbligatorio) scan trimestrale da parte di un ASV**** certificato, se applicabile Requisiti di Compliance stabiliti dall Acquirer * Per canali si intendono POS fisici e virtuali ** L altra nazione deve essere all interno di Visa Europe *** Fatto da un QSA certificato o da una risorsa interna qualificata (da comunicare prima a Visa) **** ASV : Approved Scan Vendor

REQUISITI DI PCI-DSS

PRO E CONTRO DI PCI-DSS Vantaggi Opportunità per focalizzarsi sulla sicurezza Allineata alle best practices di sicurezza Possibilità di ottenere migliori condizioni dagli Acquirer Ritorno di immagine verso i Clienti (finali e non) Svantaggi Necessità di adeguamento costante ai livelli di sicurezza; Investimenti aggiuntivi per l azienda Possibilità di ricevere sanzioni dai Brand

PER SAPERNE DI PIU Per maggiori informazioni, visita i siti : PCI COUNCIL AMERICAN EXPRESS DISCOVER FINANCIAL SERVICES JCB INTERNATIONAL MASTERCARD VISA

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back