Paymnt Card Industry (PCI) Paymnt Application Data Scurity Standard Rquisiti procdur di valutazion dlla sicurzza Vrsion 2.0 Ottobr 2010
Modifich dl documnto Data Vrsion Dscrizion Pagin 1 ottobr 2008 1.2 luglio 2009 1.2.1 Ottobr 2010 2.0 Allinar il contnuto con i nuovi standard PCI DSS v1.2 implmntar modifich minori apportat dopo la vrsion original v1.1. In Ambito dl programma PA-DSS allinar il contnuto con la Guida dl programma PA- DSS, v1.2.1, pr chiarir con quali applicazioni utilizzar PA-DSS. In Rquisito laboratorio 6, corrggr lo splling di OWASP. 30 In Attstato di convalida Part 2a aggiornar la szion Funzionalità dll'applicazion di pagamnto affinché sia in lina con i tipi di applicazion lncati nlla Guida dl programma PA-DSS chiarir l procdur di riconvalida annual nlla Part 3b. Aggiornar implmntar modifich minori risptto alla v1.2.1 d allinar con il nuovo PCI DSS v2.0. Pr informazioni dttagliat, far rifrimnto a PA-DSS Ripilogo dll modifich dalla Vrsion 1.2.1 alla 2.0 PA-DSS. v, vi 32, 33 PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 2
Sommario Modifich dl documnto... 2 Introduzion...4 Scopo dl documnto... 4 Rlazion tra PCI DSS PA-DSS... 4 Ambito dl programma PA-DSS... 5 Applicabilità dgli standard PA-DSS all applicazioni di pagamnto a trminali hardwar... 7 Ruoli rsponsabilità... 8 Guida pr l'implmntazion dl programma PA-DSS... 11 Rquisiti pr PA-QSA... 11 Laboratorio di tst... 12 Informazioni sull'applicabilità dgli standard PCI DSS... 13 Istruzioni contnuto pr il rapporto di convalida... 15 Oprazioni di compltamnto dl programma PA-DSS... 17 Guida dl programma PA-DSS... 17 Rquisiti PCI DSS procdur di valutazion dlla sicurzza... 18 1. consrvar i dati dlla striscia magntica, il valor o il codic di vrifica dlla carta (CAV2, CID, CVC2, CVV2) o i dati dl blocco PIN18 2. Protggr i dati di titolari di carta mmorizzati... 23 3. Fornir funzioni di autnticazion sicura... 29 4. Rgistrar l'attività dll'applicazion di pagamnto... 34 5. Sviluppar applicazioni di pagamnto sicur... 37 6. Protggr l trasmissioni wirlss... 40 7. Sottoporr a tst l applicazioni di pagamnto pr idntificar l vulnrabilità... 43 8. Facilitar l'implmntazion sicura in rt... 44 9. I dati di titolari di carta non dvono mai ssr mmorizzati su un srvr connsso a Intrnt... 44 10. Facilitar l'accsso rmoto sicuro all'applicazion di pagamnto... 45 11. Cifratura di dati snsibili trasmssi su rti pubblich... 48 12. Cifratura di tutto l'accsso amministrativo non da consol... 50 13. Gstir la documntazion i programmi di formazion pr clinti, rivnditori rsponsabili dll'intgrazion... 50 Appndic A: Ripilogo dl contnuto dlla Guida pr l'implmntazion dl programma PA-DSS... 52 Appndic B: Confrma dlla configurazion dl laboratorio di tst spcifica pr la valutazion PA-DSS... 59 PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 3
Introduzion Scopo dl documnto Qusto documnto è dstinato ai PA-QSA (Paymnt Application-Qualifid Scurity Assssor) ch sguono l rvisioni dll applicazioni di pagamnto, in modo ch i fornitori dl softwar possano convalidar la conformità di un'applicazion di pagamnto agli standard PCI PA-DSS (Paymnt Application Data Scurity Standard). Il prsnt documnto dv ssr utilizzato dai PA-QSA anch com modllo pr crar il Rapporto di convalida (ROV). Ultriori risors inclusi Attstati di convalida, Frquntly Askd Qustions (FAQ) il Glossario, abbrviazioni acronimi PCI DSS PA-DSSsono disponibili sul sito Wb di PCI Scurity Standards Council (PCI SSC) www.pciscuritystandards.org. Rlazion tra PCI DSS PA-DSS L'uso di un applicazion conform agli standard PA-DSS di pr sé stssa non rnd l'ntità conform agli standard PCI DSS, poiché l'applicazion in qustion dv ssr implmntata in un ambint conform agli standard PCI DSS d in conformità alla Guida pr l'implmntazion dl programma PA-DSS fornita dal fornitor dll'applicazion di pagamnto (in bas al Rquisito 13.1 PA-DSS). I rquisiti pr gli standard PA-DSS drivano dagli standard PCI DSS (Paymnt Card Industry Data Scurity Standard) dall Procdur di valutazion dlla sicurzza. Qusto documnto, ch è disponibil sul sito Wb all'indirizzo www.pciscuritystandards.org, dscriv dttagliatamnt quanto richisto pr la conformità agli standard PCI DSS (, quindi, i rquisiti ch un'applicazion di pagamnto dv supportar pr consntir ai clinti di agir in modo conform agli standard PCI DSS). I rquisiti di conformità tradizionali PCI DSS potrbbro non ssr dirttamnt applicabili ai fornitori di applicazioni di pagamnto, poiché la maggior part di fornitori non mmorizza, labora o trasmtt dati di titolari di carta. Tuttavia, poiché qust applicazioni di pagamnto sono utilizzat dai clinti pr mmorizzar, laborar trasmttr dati di titolari di carta ai clinti vin richisto di rispttar gli standard PCI DSS, l applicazioni di pagamnto dvono facilitar, non impdir, la conformità a tali standard pr i clinti. Di sguito alcuni smpi di com l applicazioni di pagamnto possono impdir di rispttar gli standard prvisti: 1. Mmorizzazion di dati su striscia magntica /o dati quivalnti sul chip nlla rt dl clint a sguito dll'autorizzazion; 2. Applicazioni ch pr un corrtto funzionamnto richidono ai clinti di disattivar altr funzioni richist dagli standard PCI DSS, quali softwar antivirus o firwall; 3. Uso di mtodi non sicuri dl fornitor pr connttrsi all'applicazion fornir supporto al clint. Applicazioni di pagamnto sicur, quando implmntat in un ambint conform agli standard PCI DSS, riducono al minimo il rischio di violazioni dlla sicurzza ch possono compromttr dati dlla striscia magntica, valori codici di vrifica dlla carta (CAV2, CID, CVC2, CVV2), PIN blocchi PIN limitano i danni drivanti da tali violazioni. PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 4
Ambito dl programma PA-DSS Gli standard PA-DSS sono validi pr i fornitori di softwar altr prson ch sviluppano applicazioni di pagamnto ch mmorizzano, laborano o trasmttono dati di titolari di carta nll'ambito dl procsso di autorizzazion o contabilizzazion dll transazioni, dov qust applicazioni di pagamnto sono vndut, distribuit o concss in licnza a trz parti. La guida sgunt può ssr utilizzata pr dtrminar s gli standard PA-DSS sono validi pr una dtrminata applicazion di pagamnto: Gli standard PA-DSS si rifriscono ad applicazioni di pagamnto ch solitamnt sono vndut installat com "prodotti standard" snza oprazioni di prsonalizzazion di fornitori softwar. Il programma PA-DSS è valido pr applicazioni di pagamnto fornit in moduli, ch in gnr includono un modulo "bas" altri moduli spcifici di tipi o dll funzioni di clinti oppur prsonalizzati su richista di clinti. Tal programma può ssr applicato solo al modulo bas s tal modulo è l'unico ch sgu funzioni di pagamnto (una volta ottnuta la confrma da un PA-QSA). S anch altri moduli sguono funzioni di pagamnto, gli standard PA-DSS si applicano anch a tali moduli. Tnr prsnt ch è consigliabil pr i fornitori softwar isolar l funzioni di pagamnto in un singolo modulo o in un numro limitato di moduli bas, risrvando agli altri moduli funzioni non di pagamnto. Qusta stratgia consigliata (non obbligatoria) consnt di ridurr il numro di moduli ch dvono ssr sottoposti alla rvision PA-DSS. Il programma PA-DSS NON è valido pr applicazioni di pagamnto offrt da providr di applicazioni o srvizi sclusivamnt com srvizio (a mno ch tali applicazioni non vngano vndut, concss in licnza o distribuit a trz parti) prché: 1) l applicazion è un srvizio offrto ai clinti (in gnr srcnti) i clinti non hanno la possibilità di gstir, installar o controllar l applicazion o il suo ambint; 2) l applicazion è coprta dagli standard PCI DSS dl providr di applicazioni o srvizi (tal coprtura non dv ssr confrmata dal clint); 3) l applicazion non vin vnduta, distribuita o concssa in licnza a trzi. Esmpi di applicazioni di pagamnto softwar as a srvic sono: Nota: Tutt l applicazioni di pagamnto convalidat non dvono ssr vrsioni bta. 1) L applicazioni offrt da application srvic providr (ASP) ch ospitano l applicazion di pagamnto sul proprio sito affinché vnga utilizzata dai propri clinti. PA-DSS potrbb ssr applicabil, tuttavia, s l applicazion di pagamnto ASP vniss vnduta a trz parti, quindi implmntata sul loro sito, s non foss coprta dagli standard PCI DSS dl fornitor ASP. 2) Applicazioni pr trminali virtuali ch risidono sul sito di un providr di srvizi ch vngono utilizzat pr insrir l su transazioni di pagamnto. PA-DSS potrbb ssr applicabil s l applicazion pr trminal virtual prsntass una porzion distribuita all srcnt implmntata sul suo sito non foss coprta dagli standard PCI DSS dl providr di trminali virtuali. Il programma PA-DSS NON è valido pr applicazioni non di pagamnto ch fanno part di una suit di applicazioni di pagamnto. Tali applicazioni (com la funzionalità di monitoraggio, valutazion rilvamnto dll frodi intgrata in una suit) possono ssr, anch s non è ncssario, coprt da PA-DSS s la suit vin valutata nlla sua intrzza. Ciononostant, s un applicazion di pagamnto fa part di una suit ch si affida ai controlli di altr applicazioni prsnti nlla suit pr la conformità ai rquisiti PA-DSS, dovrà ssr sguita una sola valutazion PA-DSS pr l applicazion di pagamnto tutt l altr applicazioni inclus nlla suit da cui dipnd. Tali PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 5
applicazioni non dvono ssr valutat sparatamnt dall altr applicazioni da cui dipndono, poiché una sola applicazion non risptta tutti i rquisiti PA-DSS. Il programma PA-DSS NON è valido pr un'applicazion di pagamnto sviluppata vnduta pr un solo clint pr il suo uso sclusivo, poiché qusta applicazion vrrà saminata nll'ambito dl controllo di conformità agli standard PCI DSS dl clint. Tnr prsnt ch un'applicazion di qusto tipo (ch può ssr dfinita anch applicazion "su misura") è vnduta a un solo clint (in gnr, un srcnt o un providr di srvizi important) d è progttata sviluppata in bas all spcifich fornit dal clint. Gli standard PA-DSS NON si rifriscono ad applicazioni di pagamnto sviluppat da srcnti providr di srvizi s utilizzat solo inhous (non vndut, distribuit o concss in licnza a trz parti), poiché l applicazioni di pagamnto sviluppat in-hous rintrano nl controllo dlla conformità agli standard PCI DSS dll'srcnt o providr di srvizi. Ad smpio, pr l'ultimo punto, s l'applicazion di pagamnto sviluppata in-hous o "su misura" mmorizza dati di autnticazion risrvati vitati o consnt l'uso di password complss, tal applicazion vrrà valutata nll'ambito dlla valutazion dlla conformità agli standard PCI DSS dll'srcnt o dl providr di srvizi non richidrà una valutazion di conformità agli standard PA-DSS sparata. Il sgunt lnco, sbbn non complto, indica l applicazioni ch NON sono applicazioni di pagamnto valid pr il programma PA-DSS ( ch, quindi, non dvono ssr sottopost all valutazioni di conformità agli standard PA-DSS): Sistmi oprativi su cui è installata un'applicazion di pagamnto (ad smpio, Windows, Unix) Sistmi di databas ch mmorizzano dati di titolari di carta (ad smpio, Oracl) Sistmi back-offic ch mmorizzano dati di titolari di carta (ad smpio, pr scopi di rporting o assistnza clinti) Nll'ambito dlla rvision PA-DSS dv ssr vrificato quanto sgu: Nota: PCI SSC insrirà nll'lnco SOLO l applicazioni ch sono applicazioni di pagamnto. Tutta la funzionalità dll'applicazion di pagamnto, inclus snza limitazion 1) funzioni di pagamnto nd-to-nd (autorizzazion contabilizzazion), 2) input output, 3) condizioni di rror, 4) intrfacc collgamnti ad altri fil, sistmi /o applicazioni di pagamnto o componnti di applicazioni, 5) tutti i flussi di dati di titolari di carta, 6) mccanismi di cifratura 7) mccanismi di autnticazion. L istruzioni ch il fornitor dll'applicazion di pagamnto dv fornir a clinti rivnditori/rsponsabili dll'intgrazion (vdr la Guida pr l'implmntazion dl programma PA-DSS più avanti in qusto documnto) pr accrtarsi ch 1) il clint sia in grado di implmntar l'applicazion di pagamnto in modo conform agli standard PCI DSS 2) il clint sia consapvol ch dtrminat impostazioni dll'applicazion di pagamnto dll'ambint possono impdir la conformità agli standard PCI DSS. Tnr prsnt ch il fornitor dll'applicazion di pagamnto può ssr tnuto a fornir tali istruzioni anch quando la spcifica impostazion 1) non può ssr controllata dal fornitor dll'applicazion di pagamnto una volta installata dal clint o 2) è di rsponsabilità dl clint non dl fornitor dll'applicazion di pagamnto. Tutt l piattaform slzionat pr la vrsion dll'applicazion di pagamnto sottoposta a rvision (spcificar l piattaform inclus). Gli strumnti utilizzati da o all'intrno dll'applicazion di pagamnto pr accdr /o visualizzar i dati di titolari di carta (strumnti di rporting, rgistrazion, cc.) PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 6
Applicabilità dgli standard PA-DSS all applicazioni di pagamnto a trminali hardwar L applicazioni di pagamnto progttat pr funzionar su trminali hardwar (noti anch com trminali POS ddicati o indipndnti) possono ssr sottopost ad una rvision PA-DSS s il fornitor dsidra ottnr la convalida s i rquisiti di conformità PA-DSS possono ssr soddisfatti. I motivi pr i quali un fornitor può dsidrar di sottoporsi ad una convalida PA-DSS pr un'applicazion di pagamnto su un trminal hardwar includono, snza limitazion, signz azindali d obblighi di conformità. In qusta szion sono fornit l istruzioni pr i fornitori ch intndono ottnr la convalida PA-DSS pr applicazioni di pagamnto rsidnti su trminali hardwar. La convalida PA-DSS pr un'applicazion di pagamnto rsidnt su un trminal hardwar può ssr ottnuta in du modi: 1. L'applicazion di pagamnto rsidnt soddisfa dirttamnt tutti i rquisiti PA-DSS d è convalidata in bas all procdur PA-DSS standard. 2. L'applicazion di pagamnto rsidnt non soddisfa tutti i rquisiti PA-DSS, ma l'hardwar su cui l'applicazion è rsidnt è insrito nll'elnco PCI SCC di dispositivi di sicurzza dll transazioni (PTS) PIN approvati com dispositivo di punto di intrazion (POI) approvato PCI PTS attual. In qusto scnario, potrbb ssr possibil pr l'applicazion soddisfar i rquisiti PA-DSS attravrso una combinazion di controlli convalidati PTS PA-DSS. La rstant part di qusta szion si rifrisc solo all applicazioni di pagamnto rsidnti su un dispositivo POI approvato PCI PTS convalidato. S non è possibil pr l'applicazion di pagamnto soddisfar dirttamnt uno o più rquisiti PA-DSS, qusti possono ssr soddisfatti in modo indirtto attravrso controlli sottoposti a tst com part dlla convalida PCI PTS. Pr un dispositivo hardwar da prndr in sam pr l'insrimnto in una rvision PA-DSS, il dispositivo hardwar DEVE ssr convalidato com dispositivo POI approvato PCI PTS d ssr insrito nll'elnco di dispositivi PTS approvati PCI SSC. Il dispositivo POI convalidato PTS, ch mtt a disposizion un ambint informatico affidabil, divntrà una dipndnza ncssaria pr l'applicazion di pagamnto la combinazion di applicazion d hardwar sarà insrita insim nll'elnco PA-DSS di Convalida applicazioni di pagamnto. In sd di valutazion PA-DSS, il PA-QSA dv sottoporr ad un tst complto l'applicazion di pagamnto con l'annsso hardwar in bas a tutti i rquisiti PA-DSS. S il PA-QSA ritin ch l'applicazion di pagamnto rsidnt non sia in grado di soddisfar uno o più rquisiti PA-DSS, ma ch qusti siano soddisfatti dai controlli convalidati in bas agli standard PCI PTS, il PA-QSA è tnuto a: 1. Documntar in modo chiaro quali rquisiti sono soddisfatti com indicato nl PA-DSS (com di consuto); 2. Documntar in modo chiaro qual rquisito sia stato soddisfatto mdiant PCI PTS nlla caslla Prsnt pr il rquisito in qustion; 3. Insrir un'saurint spigazion in mrito all motivazioni in bas all quali l'applicazion di pagamnto non ra in grado di soddisfar il rquisito PA-DSS; 4. Documntar l procdur sguit pr stabilir in ch modo il rquisito in qustion vniva soddisfatto compltamnt attravrso un controllo convalidato PCI PTS; 5. Elncar il trminal hardwar convalidato PCI PTS com dipndnza ncssaria nl Ripilogo scutivo dl Rapporto di convalida. A sguito dl compltamnto dlla convalida PA-QSA dll'applicazion di pagamnto dlla succssiva accttazion da part dl PCI SSC, il dispositivo hardwar convalidato PTS sarà insrito com dipndnza pr l'applicazion di pagamnto nll'elnco di applicazioni convalidat PA- DSS. PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 7
L applicazioni di pagamnto rsidnti su trminali hardwar ch sono convalidat attravrso una combinazion di controlli PA-DSS PCI PTS dvono soddisfar i sgunti critri: 1. Essr forniti insim al clint (trminal hardwar d applicazion), OPPURE, s forniti sparatamnt, il fornitor dll'applicazion /o il rivnditor/rsponsabil dll'intgrazion dvono inviar l'applicazion pr la distribuzion in modo ch funzioni sclusivamnt sul trminal hardwar pr il qual ha ricvuto la convalida. 2. Consntir pr impostazion prdfinita di supportar la conformità agli standard PCI DSS dl clint. 3. Comprndr assistnza d aggiornamnti continui pr consrvar la conformità agli standard PCI DSS. 4. In caso di vndita, distribuzion o concssion in licnza sparata dll'applicazion ai clinti, il fornitor è tnuto a fornir l informazioni dttagliat sull'hardwar dipndnt ncssario pr l'utilizzo con l'applicazion, in conformità al suo lnco di convalida PA-DSS. Ruoli rsponsabilità La comunità dll applicazioni di pagamnto è costituita da prson con ruoli divrsi. Alcuni di qusti ruoli hanno una partcipazion più dirtta nl procsso di valutazion PA-DSS, ossia fornitori, PA-QSA PCI SSC. Altr ch non sono dirttamnt coinvolt nl procsso di valutazion dvono comunqu conoscr l'intro procsso pr prndr dcisioni a livllo azindal più appropriat. Di sguito vngono dfiniti i ruoli l rsponsabilità di tutti i mmbri dlla comunità dll applicazioni di pagamnto. L rsponsabilità lncat si rifriscono all prson coinvolt nl procsso di valutazion. Marchi di pagamnto Amrican Exprss, Discovr Financial Srvics, JCB Intrnational, MastrCard Worldwid Visa Inc. sono i marchi di pagamnto ch hanno fondato PCI SSC. Qusti marchi sono rsponsabili dllo sviluppo dll'applicazion di tutti i programmi corrlati alla conformità agli standard PA- DSS, incluso, snza limitazion, quanto sgu: Rquisiti, mandati o dat pr l'uso di applicazioni di pagamnto conformi agli standard PA-DSS Mult o sanzioni corrlat all'uso di applicazioni di pagamnto non conformi. I marchi di pagamnto possono dfinir programmi, mandati, dat di conformità altro utilizzando gli standard PA-DSS l applicazioni di pagamnto convalidat lncat da PCI SSC. Mdiant qusti programmi di conformità, tali marchi promuovono l'uso dll applicazioni di pagamnto convalidat lncat. PCI SSC (Paymnt Card Industry Scurity Standards Council) PCI SSC è l'organismo ch gstisc gli standard pr l cart di pagamnto, inclusi gli standard PCI DSS PA-DSS. Rlativamnt al programma PA-DSS, PCI SSC: È un rpository cntralizzato pr i rapporti di convalida (ROV, Rports of Validation) PA-DSS Esgu controlli di qualità (QA) sui rapporti di convalida PA-DSS pr confrmar la congrunza la qualità di tali rapporti Cra gstisc un lnco dll applicazioni di pagamnto convalidat in bas al programma PA-DSS sul sito Wb PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 8
Qualifica forma i PA-QSA pr sguir l rvisioni PA-DSS Gstisc aggiorna gli standard PA-DSS la documntazion corrlata in bas a uno spcifico procsso di gstion. Tnr prsnt ch PCI SSC non approva i rapporti da un punto di vista di convalida. Il ruolo dl PA-QSA consist nl documntar la conformità dll'applicazion di pagamnto agli standard PA-DSS a partir dalla data di valutazion. Inoltr, PCI SSC sgu i controlli di qualità ncssari pr accrtarsi ch i PA-QSA documntino in modo accurato complto l valutazioni PA-DSS. Fornitori di softwar I fornitori di softwar ("fornitori") sviluppano l applicazioni di pagamnto ch mmorizzano, laborano o trasmttono dati di titolari di carta nll'ambito dl procsso di autorizzazion o contabilizzazion, quindi, vndono, distribuiscono concdono in licnza qust applicazioni di pagamnto a trz parti (clinti o rivnditori/rsponsabili dll'intgrazion). I fornitori sono rsponsabili di: Crar applicazioni di pagamnto conformi agli standard PA-DSS ch facilitino non impdiscano la conformità agli standard PCI DSS di loro clinti (l'applicazion non può richidr un'implmntazion o un'impostazion di configurazion ch viola un rquisito PCI DSS). Sguir i rquisiti PCI DSS ogni volta ch mmorizzano, laborano o trasmttono i dati di titolari di carta (ad smpio, durant la risoluzion di problmi di clinti). Crar una Guida pr l'implmntazion dl programma PA-DSS spcifica pr ciascuna applicazion di pagamnto, in bas ai rquisiti indicati nl prsnt documnto. Formar clinti, rivnditori rsponsabili dll'intgrazion su com installar configurar l applicazioni di pagamnto in modo conform agli standard PCI DSS. Assicurar ch l applicazioni di pagamnto soddisfino i rquisiti PA-DSS suprando una rvision PA-DSS com spcificato nl prsnt documnto. PA-QSA I PA-QSA sono QSA qualificati formati da PCI SSC pr sguir l rvisioni PA-DSS. I PA-QSA sono rsponsabili di: Esguir l valutazioni dll applicazioni di pagamnto in bas all Procdur di valutazion dlla sicurzza ai Rquisiti di convalida pr PA-QSA. Fornir un fdback sulla conformità dll'applicazion di pagamnto ai rquisiti PA-DSS. Fornir una documntazion adguata all'intrno dl rapporto di convalida (ROV) pr dimostrar la conformità dll'applicazion di pagamnto agli standard PA-DSS Inviar il rapporto di convalida a PCI SSC, insim all'attstato di convalida (firmato da ntrambi, PA- QSA fornitor). Gstir un procsso di controllo qualità intrno pr l propri attività. Nota: tutt l azind qualificat pr la valutazion dlla sicurzza (QSA) sono PA- QSA, ossia azind qualificat pr valutar la sicurzza dll applicazioni di pagamnto. Pr divntar un PA-QSA, sistono ultriori rquisiti di qualifica ch dvono ssr soddisfatti. PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 9
È rsponsabilità dl PA-QSA indicar s l'applicazion di pagamnto è conform. PCI SSC non approva i rapporti di convalida (ROV) da un punto di vista di conformità tcnica, ma sottopon a controlli di qualità tali rapporti pr assicurar ch documntino adguatamnt la dimostrazion dlla conformità. Rivnditori/Rsponsabili dll'intgrazion I rivnditori i rsponsabili dll'intgrazion sono l ntità ch si occupano dlla vndita, dll'installazion /o dll'assistnza dll applicazioni di pagamnto pr conto di fornitori dl softwar o di altri. I rivnditori i rsponsabili dll'intgrazion sono rsponsabili di: Implmntar solo l applicazioni di pagamnto conformi agli standard PA-DSS in un ambint conform agli standard PCI DSS (o fornir l istruzioni ncssari all'srcnt). Configurar l'applicazion di pagamnto (nl caso in cui sono fornit opzioni di configurazion) in bas alla Guida pr l'implmntazion dgli standard PA-DSS dl fornitor Configurar l applicazioni di pagamnto (o fornir l istruzioni ncssari all'srcnt) in modo conform agli standard PCI DSS. Fornir assistnza pr l applicazioni di pagamnto (ad smpio, risoluzion di problmi, aggiornamnti in rmoto assistnza in rmoto) in bas alla Guida pr l'implmntazion dl programma PA-DSS agli standard PCI DSS. I rivnditori i rsponsabili dll'intgrazion non inviano applicazioni di pagamnto pr la valutazion. I prodotti possono ssr inviati solo dal fornitor. PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 10
Clinti I clinti sono srcnti, providr di srvizi o altr prson ch acquistano o ricvono un'applicazion di pagamnto di trza part pr mmorizzar, laborar o trasmttr dati di titolari di carta nll'ambito dl procsso di autorizzazion o contabilizzazion dll transazioni. I clinti ch dsidrano utilizzar applicazioni conformi agli standard PA-DSS sono rsponsabili di: Implmntar un'applicazion di pagamnto conform agli standard PA-DSS in un ambint conform agli standard PCI DSS. Configurar l'applicazion di pagamnto (nl caso in cui sono fornit opzioni di configurazion) in bas alla Guida pr l'implmntazion dgli standard PA-DSS dl fornitor Configurar l'applicazion di pagamnto in modo conform agli standard PCI DSS. Mantnr lo stato di conformità agli standard PCI DSS pr l'ambint la configurazion dll'applicazion. Nota: Un'applicazion di pagamnto conform agli standard PA-DSS da sola non garantisc la conformità agli standard PCI DSS. Guida pr l'implmntazion dl programma PA-DSS L applicazioni di pagamnto convalidat dvono potr ssr implmntat in modo conform agli standard PCI DSS. Ai fornitori di softwar vin richisto di fornir una Guida pr l'implmntazion dl programma PA-DSS pr istruir i rlativi clinti rivnditori/rsponsabili dll'intgrazion su com implmntar il prodotto in modo sicuro, pr documntar l spcifich di configurazion sicur mnzionat nl prsnt documnto pr dlinar chiaramnt l rsponsabilità di fornitori, rivnditori/rsponsabili dll'intgrazion clinti rlativamnt ai rquisiti PCI DSS. In tal Guida dv ssr dscritto dttagliatamnt com il clint /o rivnditor/rsponsabil dll'intgrazion dv abilitar l impostazioni di sicurzza all'intrno dlla rt dl clint. Ad smpio, la Guida pr l'implmntazion dl programma PA-DSS dv fornir tutt l informazioni rilvanti sull rsponsabilità sull funzionalità di bas dlla sicurzza dll password PCI DSS anch s non controllat dall'applicazion di pagamnto, in modo ch il clint o il rivnditor/rsponsabil dll'intgrazion comprnda com implmntar password sicur pr la conformità agli standard PCI DSS. L applicazioni di pagamnto, quando implmntat in bas alla Guida pr l'implmntazion dl programma PA-DSS quando implmntat in un ambint conform agli standard PCI DSS, dvono facilitar supportar la conformità a tali standard dl clint. Far rifrimnto all'appndic A: Ripilogo dl contnuto dlla Guida pr l'implmntazion dl programma PA-DSS pr un confronto dll rsponsabilità di implmntazion di controlli spcificati nlla Guida pr l'implmntazion dl programma PA-DSS. Rquisiti pr PA-QSA Solo i PA-QSA (Paymnt Application Qualifid Scurity Assssor) assunti da socità QSA sono autorizzati ad sguir valutazioni di conformità agli standard PA-DSS. Far rifrimnto all'lnco di QSA all'indirizzo www.pciscuritystandards.org pr un lnco dll socità qualificat ad sguir valutazioni di conformità agli standard PA-DSS. Il PA-QSA dv utilizzar l procdur di tst dscritt nl prsnt documnto. Il PA-QSA dv avr accsso a un laboratorio in cui sguir il procsso di convalida. PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 11
Laboratorio di tst I laboratori di tst possono ssr prsnti in una dll du sgunti posizioni: in sd prsso il PA-QSA, oppur in sd prsso il fornitor dl softwar. Il laboratorio dv ssr in grado di simular l'uso nl mondo ral dll'applicazion di pagamnto. Il PA-QSA dv validar l'installazion complta dll'ambint dl laboratorio pr assicurar l'ffttiva simulazion da part dll'ambint di una situazion nl mondo ral la mancata modifica o altrazion dll'ambint in alcun modo da part dl fornitor. Far rifrimnto all'appndic B: Confrma dlla configurazion dl laboratorio di tst spcifica pr la valutazion PA-DSS in qusto documnto pr vrificar i rquisiti dttagliati pr il laboratorio i procssi corrlati. Il PA-QSA dv compltar inviar l'appndic B, pr il laboratorio spcifico utilizzato pr la rvision dll'applicazion di pagamnto, insim al rapporto PA-DSS compltato. PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 12
Informazioni sull'applicabilità dgli standard PCI DSS (Estratto da PCI DSS) I Paymnt Card Industry Data Scurity Standard (PCI DSS) si applicano in occasion di ogni mmorizzazion, laborazion o trasmission di dati dgli account. I dati dgli account sono costituiti da Dati di titolari di carta più Dati snsibili di autnticazion, com sgu. I dati di titolari di carta comprndono: I dati snsibili di autnticazion comprndono: PAN (Primary Account Numbr) Nom titolar di carta scadnza Codic di srvizio Dati complti dlla striscia magntica o quivalnti sul chip CAV2/CVC2/CVV2/CID PIN/Blocchi PIN Il PAN (Primary Account Numbr) è il fattor dtrminant nll'applicabilità di rquisiti PCI DSS dgli standard PA-DSS. Gli standard PCI DSS sono applicabili s vin mmorizzato, laborato o trasmsso un numro PAN (Prsonal Account Numbr, numro account prsonal). S il PAN non vin mmorizzato, laborato o trasmsso, gli standard PCI DSS PA-DSS non sono applicabili. S il nom dl titolar di carta, il codic di srvizio /o la data di scadnza sono mmorizzati, laborati o trasmssi con il PAN, oppur sono prsnti in altro modo nll'ambint di dati di titolari di carta, tali dati dvono ssr prottti in conformità a tutti i rquisiti PCI DSS ad cczion di Rquisiti 3.3 3.4 ch si applicano solo al PAN. Il PCI DSS costituisc una sri minima di obittivi di controllo ch possono ssr migliorati da lggi rgolamnti a livllo local, rgional di sttor. Inoltr, i rquisiti lgislativi o rgolamntari possono prvdr una protzion spcifica di informazioni di idntificazion prsonal o di altri lmnti di dati (ad smpio, il nom dl titolar di carta), oppur dfinir l pratich di divulgazion di un'ntità connss all informazioni sui consumatori. Esmpi comprndono la lgislazion corrlata alla protzion di dati di consumatori, alla privacy, al furto di idntità o alla sicurzza di dati. PCI DSS non sostituisc l lggi rgionali o locali, i rgolamnti govrnativi o altri rquisiti lgali. La tablla sgunt dgli standard Paymnt Card Industry Data Scurity Standard (PCI DSS) illustra gli lmnti di dati di titolari di carta dati snsibili di autnticazion utilizzati comunmnt, indipndntmnt dal fatto ch la mmorizzazion di tali dati sia consntita o mno ch tali dati dbbano ssr prottti. Qusta tablla non intnd ssr complta, ma illustra i divrsi tipi di rquisiti ch si applicano a ciascun lmnto di dati. PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 13
Dati di account Dati di titolari di carta Dati snsibili di autnticazion 1 Elmnto di dati Mmorizzazion consntita Rndr i dati di account mmorizzati illggibili pr il Rquisito 3.4 PCI DSS PAN (Primary Account Numbr) Sì Sì Nom titolar di carta Sì No Codic di srvizio Sì No scadnza Sì No Dati complti dlla striscia magntica 2 No Impossibil mmorizzar in bas al Rquisito 3.2 CAV2/CVC2/CVV2/CID PIN/Blocco PIN No No Impossibil mmorizzar in bas al Rquisito 3.2 Impossibil mmorizzar in bas al Rquisito 3.2 I Rquisiti 3.3. 3.4 PCI DSS si applicano solo al PAN. In caso di mmorizzazion dl PAN con altri lmnti di dati dl titolar di carta, è solo il PAN ch va rso illggibil in conformità al Rquisito 3.4 PCI DSS. Il PCI DSS si applica solo in caso di mmorizzazion, laborazion /o trasmission di PAN. 1 2 I dati snsibili di autnticazion non dvono ssr mmorizzati dopo l'autorizzazion (anch s cifrati). Dati su traccia complta dalla striscia magntica, dati quivalnti in un chip o in altro luogo. PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 14
Istruzioni contnuto pr il rapporto di convalida Qusto documnto dv ssr utilizzato dai PA-QSA com modllo pr crar il rapporto di convalida. Tutti i PA-QSA dvono sguir l istruzioni prsnti in qusto documnto pr il contnuto il formato dl rapporto di convalida. Tal rapporto dv contnr l sgunti informazioni com prfazion ai rquisiti all Procdur di valutazion dlla sicurzza dttagliat: 1. Dscrizion dll'ambito dlla rvision Dscrivr l'ambito dlla rvision, in bas alla szion Ambito dl programma PA-DSS prcdnt Tmpi di convalida Vrsion PA-DSS utilizzata pr la valutazion Elnco dlla documntazion sottoposta a rvision 2. Ripilogo scutivo Includr quanto sgu: Nom dl prodotto Vrsion dl prodotto piattaform corrlat intrssat Elnco di rivnditori /o rsponsabili dll'intgrazion di qusto prodotto Sistmi oprativi su cui è stata tstata l'applicazion di pagamnto Softwar di databas utilizzato o supportato dall'applicazion di pagamnto Brv dscrizion dll'applicazion di pagamnto/dlla famiglia di prodotti (2-3 frasi) Diagramma dlla rt di una tipica implmntazion dll'applicazion di pagamnto (non ncssariamnt un'implmntazion spcifica prsso la sd di un clint) ch includ, ad alto livllo: - Connssioni in ntrata in uscita dlla rt dl clint - Componnti all'intrno dlla rt dl clint, inclusi dispositivi POS, sistmi, databas srvr Wb, com applicabil - Altr applicazioni di pagamnto o altri componnti ncssari, com applicabil Dscrizion o diagramma di ciascuna part dl link di comunicazion, inclus (1) LAN, WAN o Intrnt, (2) comunicazion softwar host-to-host (3) all'intrno di host dov il softwar vin distribuito (ad smpio, com du divrsi procssi comunicano sullo stsso host) Un diagramma dl flusso di dati ch mostra tutti i flussi di dati di titolari di carta, inclusi i flussi di autorizzazion, acquisizion, contabilizzazion rttifica, com applicabil PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 15
Brv dscrizion di fil tabll ch mmorizzano i dati di titolari di carta, supportata da un invntario crato (od ottnuto dal fornitor dl softwar) consrvato dal PA-QSA ni documnti; qusto invntario dv includr, pr ciascuna mmorizzazion di dati di titolari di carta (fil, tablla, cctra): - Elnco di tutti gli lmnti di dati di titolari di carta mmorizzati - Modalità di protzion di dati mmorizzati - Modalità di rgistrazion dll'accsso ai dati mmorizzati Elnco di tutti i componnti softwar corrlati all'applicazion di pagamnto, inclusi rquisiti dipndnz di softwar di trz parti Dscrizion di mtodi di autnticazion nd-to-nd dll'applicazion di pagamnto, incluso il mccanismo di autnticazion dll'applicazion, il databas di autnticazion la mmorizzazion di dati di sicurzza Dscrizion dl ruolo dll'applicazion di pagamnto in una tipica implmntazion quali altri tipi di applicazioni di pagamnto sono ncssari pr un'implmntazion complta Dscrizion dl tipico clint al qual vin vnduto qusto prodotto (ad smpio, azind di grandi piccol dimnsion, spcifich o mno dl sttor, su Intrnt, brick-and-mortar) la bas dl clint dl fornitor (ad smpio, sgmnto di mrcato, nomi di clinti importanti). Dfinizion dlla mtodologia di vrsioning dl fornitor, pr dscrivr/illustrar com il fornitor indica l modifich dlla vrsion di maggior minor ntità mdiant i numri di vrsion pr dfinir i tipi di modifica ch il fornitor includ nll modifich dlla vrsion. 3. Risultati ossrvazioni Tutti i PA-QSA dvono utilizzar il sgunt modllo pr fornir dscrizioni risultati dttagliati dl rapporto. Dscrivr i tst sguiti divrsi da qulli inclusi nlla colonna dll procdur di tst. S il valutator stabilisc ch un rquisito non è applicabil pr una dtrminata applicazion di pagamnto, si dv insrir una spigazion nlla colonna Prsnt pr il rquisito in qustion. 4. Informazioni di contatto data dl rapporto Informazioni sulla prsona dl fornitor dl softwar da contattar (includr URL, numro di tlfono indirizzo -mail) Informazioni sul PA-QSA (includr URL, numro di tlfono indirizzo -mail) Informazioni sulla prsona rsponsabil dl controllo qualità (QA) dl PA-QSA da contattar (includr nom, numro di tlfono indirizzo -mail) Data dl rapporto Nota: Appndic B: Confrma dlla configurazion dl laboratorio di tst spcifica pr la valutazion PA-DSS dv ssr compltata inviata insim al rapporto PA-DSS compltato. PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 16
Oprazioni di compltamnto dl programma PA-DSS Qusto documnto contin la tablla di rquisiti dll Procdur di valutazion dlla sicurzza, nonché l'appndic B: Confrma dlla configurazion dl laboratorio di tst spcifica pr la valutazion PA-DSS. I rquisiti l Procdur di valutazion dlla sicurzza dscrivono dttagliatamnt l procdur ch dv sguir il PA-QSA. L'Appndic B: Confrma dlla configurazion dl laboratorio di tst spcifica pr la valutazion PA-DSS dv ssr compltata dal PA-QSA pr confrmar lo stato l capacità dl laboratorio di tst utilizzato pr sguir la valutazion di conformità agli standard PA-DSS. Il PA-QSA dv ffttuar l sgunti oprazioni: 1. Compltar il Rapporto di convalida utilizzando qusto documnto com modllo. a. Compltar la prfazion dl Rapporto di convalida, in bas alla szion "Istruzioni contnuto dl rapporto di convalida". b. Compltar documntar tutt l oprazioni dfinit in dttaglio ni rquisiti nll Procdur di valutazion dlla sicurzza, inclusa una brv dscrizion di controlli vrificati nlla colonna Prsnt, insrir vntuali commnti. Tnr prsnt ch un rapporto con voci contrassgnat com " prsnti" dv ssr inviato a PCI SSC solo dopo ch tutt l voci sono stat contrassgnat com "Prsnti". 2. Compltar l'appndic B: Confrma dlla configurazion dl laboratorio di tst spcifica pr la valutazion PA-DSS. 3. Compltar firmar un Attstato di convalida (ntrambi, PA-QSA fornitor dl softwar). L'Attstato di convalida è disponibil sul sito Wb PCI SSC (www.pciscuritystandards.org). 4. Dopo il compltamnto, inviar tutti i documnti prcdnti a PCI SSC in bas all istruzioni fornit nlla Guida dl programma PA-DSS. Guida dl programma PA-DSS Far rifrimnto alla Guida dl programma PA-DSS pr informazioni sulla gstion dl programma PA-DSS, inclusi i sgunti argomnti: Procssi di invio accttazion dl rapporto PA-DSS Procsso di rvision annual dll applicazioni di pagamnto inclus nll'elnco di applicazioni convalidat in bas al programma PA- DSS Trasfrimnto di applicazioni convalidat in bas al programma PABP nll'elnco di applicazioni di pagamnto convalidat in bas al programma PA-DSS Rsponsabilità di notifica nl caso in cui un'applicazion prsnt in lnco vnga compromssa. PCI SSC si risrva il diritto di richidr la riconvalida in sguito a modifich significativ dgli standard PA-DSS /o in sguito all'idntificazion di vulnrabilità spcifich di una dll applicazioni di pagamnto prsnti in lnco. PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 17
Rquisiti PCI DSS procdur di valutazion dlla sicurzza Rquisiti PA-DSS Procdur di tst Prsnt prsnt scadnza/co mmnti 1. consrvar i dati dlla striscia magntica, il valor o il codic di vrifica dlla carta (CAV2, CID, CVC2, CVV2) o i dati dl blocco PIN 1.1 mmorizzar dati snsibili di autnticazion dopo l'autorizzazion (anch s crittografati). I dati snsibili di autnticazion includono i dati citati ni sgunti Rquisiti da 1.1.1 a 1.1.3. Not: il divito di mmorizzar dati snsibili di autnticazion dopo l'autorizzazion prsuppon ch la transazion abbia 1.1.a S qusta applicazion di pagamnto mmorizza dati snsibili di autnticazion, vrificar ch l'applicazion sia dstinata solo ad mittnti /o a socità ch supportano srvizi di mission. 1.1.b Pr tutt l altr applicazioni di pagamnto, s i dati snsibili di autnticazion (vdr i sucssivi punti da 1.1.1 a 1.1.3) vngono mmorizzati prima dll'autorizzazion quindi liminati, richidr risaminar la mtodologia pr la cancllazion di dati pr stabilir ch i dati non possono ssr rcuprati in alcun modo. PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 18
Rquisiti PA-DSS Procdur di tst Prsnt compltato il procsso di autorizzazion il clint abbia ricvuto l'approvazion final dlla transazion. Una volta compltata l'autorizzazion, qusti dati snsibili di autnticazion non possono ssr mmorizzati. Ad Emittnti socità ch supportano srvizi di mission è consntita la mmorizzazion di dati snsibili di autnticazion in prsnza di una giustificazion azindal d i dati vngono mmorizzati in modo sicuro. 1.1.c Pr ciascun lmnto di dati snsibili di autnticazion di sguito indicato, ffttuar l sgunti oprazioni dopo avr compltato divrs transazioni di prova ch simulano tutt l funzioni dll'applicazion di pagamnto, pr includr la gnrazion di condizioni di rror voci di rgistro. prsnt scadnza/co mmnti In lina con il Rquisito 3.2 PCI DSS 1.1.1 Dopo l'autorizzazion, non mmorizzar l'intro contnuto dll tracc dlla striscia magntica (prsnt sul rtro dlla carta, dati quivalnti contnuti in un chip o in altro luogo). Qusti dati sono dnominati anch traccia complta, traccia, traccia 1, traccia 2 dati di striscia magntica. Nota: Nl normal svolgimnto dll attività, è possibil ch sia ncssario consrvar i sgunti lmnti di dati dlla striscia magntica: Nom dl titolar dl conto PAN (Primary Account Numbr) scadnza, Codic di srvizio Pr ridurr al minimo il rischio, mmorizzar solo gli lmnti di dati ncssari. 1.1.1 Utilizzar strumnti mtodi fornsi (strumnti commrciali, script, cc.) 3 pr saminar tutto l'output crato dall'applicazion di pagamnto vrificar ch, non sia mmorizzato, dopo l'autorizzazion, l'intro contnuto di ogni traccia dalla striscia magntica dlla carta o dati quivalnti in un chip. Includr almno i sgunti tipi di fil (nonché altro output gnrato dall'applicazion di pagamnto): Dati di transazioni in ntrata Tutti i rgistri (ad smpio, transazioni, cronologia, dbug o rrori) Fil di cronologia Fil di traccia Mmoria non volatil, inclusa la cach non volatil Schmi di databas Contnuto di databas In lina con il Rquisito 3.2.1 PCI DSS 3 Strumnto o mtodo forns: uno strumnto o un mtodo pr rilvar, analizzar prsntar dati fornsi, ch consntono di autnticar, ricrcar rcuprar una prova su computr in modo rapido d saurint. Nl caso di strumnti o mtodi fornsi utilizzati dai PA-QSA, qusti strumnti o mtodi dvono individuar accuratamnt vntuali dati snsibili di autnticazion scritti dall'applicazion di pagamnto. Tali strumnti possono ssr commrciali, opn-sourc o sviluppati in-hous dal PA-QSA. PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 19
Rquisiti PA-DSS Procdur di tst Prsnt 1.1.2 Dopo l'autorizzazion, non mmorizzar il codic o il valor di validazion dlla carta (numro di tr o quattro cifr stampato sulla part antrior o postrior dlla carta di pagamnto) utilizzato pr vrificar l transazioni con carta non prsnt. In lina con il Rquisito 3.2.2 PCI DSS 1.1.3 Dopo l'autorizzazion, non mmorizzar il numro di idntificazion prsonal (PIN) o il blocco PIN cifrato. In lina con il Rquisito 3.2.3 PCI DSS 1.1.2 Utilizzar strumnti mtodi fornsi (strumnti commrciali, script, cc.) pr saminar tutto l'output crato dall'applicazion di pagamnto vrificar ch il codic di validazion dlla carta a tr o quattro cifr stampato sulla part antrior dlla carta o nl riquadro dlla firma (dati CVV2, CVC2, CID, CAV2) non sia mmorizzato dopo l'autorizzazion. Includr almno i sgunti tipi di fil (nonché altro output gnrato dall'applicazion di pagamnto): Dati di transazioni in ntrata Tutti i rgistri (ad smpio, transazioni, cronologia, dbug o rrori) Fil di cronologia Fil di traccia Mmoria non volatil, inclusa la cach non volatil Schmi di databas Contnuto di databas 1.1.3 Utilizzar strumnti mtodi fornsi (strumnti commrciali, script, cc.) pr saminar tutto l'output crato dall'applicazion di pagamnto vrificar ch i PIN i blocchi PIN cifrati non siano mmorizzati dopo l'autorizzazion. Includr almno i sgunti tipi di fil (nonché altro output gnrato dall'applicazion di pagamnto): Dati di transazioni in ntrata Tutti i rgistri (ad smpio, transazioni, cronologia, dbug o rrori) Fil di cronologia Fil di traccia Mmoria non volatil, inclusa la cach non volatil Schmi di databas Contnuto di databas prsnt scadnza/co mmnti PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 20
Rquisiti PA-DSS Procdur di tst Prsnt 1.1.4 Eliminar in modo sicuro i dati dlla striscia magntica, i codici o valori di vrifica dlla carta, i PIN i blocchi PIN mmorizzati da prcdnti vrsioni dll'applicazion di pagamnto, in conformità con gli standard pr l'liminazion sicura accttati dal sttor, com dfinito, ad smpio, dall'lnco di prodotti approvati gstito dalla National Scurity Agncy (NSA) o da qualsiasi altro nt ch gstisc standard o normativ statal o nazional. Nota: qusto rquisito è valido s l prcdnti vrsioni dll'applicazion di pagamnto prvdvano la mmorizzazion di dati snsibili di autnticazion. In lina con il Rquisito 3.2 PCI DSS 1.1.4.a Rivdr la Guida pr l'implmntazion dl programma PA-DSS prparata dal fornitor vrificar ch includa l sgunti istruzioni pr i clinti i rivnditori/rsponsabili dll'intgrazion: I dati cronologici dvono ssr rimossi (dati dlla striscia magntica, codici di vrifica dlla carta, PIN o blocchi PIN mmorizzati da prcdnti vrsioni dll'applicazion di pagamnto) Modalità di rimozion di dati cronologici Tal rimozion è assolutamnt ncssaria pr garantir la conformità agli standard PCI DSS 1.1.4.b Vrificar s il fornitor fornisc uno strumnto o una procdura pr la pulizia sicura pr rimuovr i dati. 1.1.4.c Vrificar, mdiant l'uso di strumnti mtodi fornsi, ch lo strumnto o la procdura di pulizia sicura rimuova in modo appropriato i dati, in bas agli standard pr l'liminazion sicura di dati accttati dal sttor. prsnt scadnza/co mmnti 1.1.5 Eliminar in modo sicuro tutti i dati snsibili di autnticazion (dati prcdnti all'autorizzazion) utilizzati pr oprazioni di dbug o risoluzion di problmi da fil di log, fil di dbugging altri fil di dati ricvuti dai clinti, pr accrtarsi ch i dati dlla striscia magntica, i valori o codici di vrifica dlla carta, i PIN o i blocchi PIN non siano mmorizzati sui sistmi dl fornitor dl softwar. Qusti dati dvono ssr raccolti in quantità limitat solo quando ncssario pr risolvr un problma, cifrati quando mmorizzati d liminati immdiatamnt dopo l'uso. In lina con il Rquisito 3.2 PCI DSS 1.1.5.a Esaminar l procdur dl fornitor dl softwar pr risolvr vntuali problmi di clinti vrificar ch l procdur includano: Raccolta di dati snsibili di autnticazion solo quando ncssario pr risolvr un problma spcifico Mmorizzazion di tali dati solo in posizioni spcifich not con accsso limitato Raccolta solo dlla quantità di dati limitata ncssaria pr risolvr un problma spcifico Cifratura di dati snsibili di autnticazion al momnto dlla mmorizzazion Eliminazion sicura di tali dati immdiatamnt dopo l'uso 1.1.5.b Slzionar un campion di rcnti richist di risoluzion di problmi inviat dai clinti vrificar ch ciascun vnto abbia sguito la procdura dscritta al punto 1.1.5.a. PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 21
Rquisiti PA-DSS Procdur di tst Prsnt 1.1.5.c Rivdr la Guida pr l'implmntazion dl programma PA-DSS prparata dal fornitor vrificar ch includa l sgunti informazioni pr i clinti i rivnditori/rsponsabili dll'intgrazion: Raccoglir dati snsibili di autnticazion solo quando ncssario pr risolvr un problma spcifico. Mmorizzar tali dati solo in posizioni spcifich not con accsso limitato. Raccoglir solo la quantità di dati limitata ncssaria pr risolvr un problma spcifico. Cifrar i dati snsibili di autnticazion al momnto dlla mmorizzazion. Eliminar in modo sicuro tali dati immdiatamnt dopo l'uso. prsnt scadnza/co mmnti PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 22
Rquisiti PA-DSS Procdur di tst Prsnt 2. Protggr i dati di titolari di carta mmorizzati prsnt scadnza/co mmnti 2.1 Il fornitor dl softwar dv fornir ai clinti istruzioni pr l'liminazion di dati di titolari di carta dopo la scadnza dl priodo di consrvazion dfinito dal clint. In lina con il Rquisito 3.1. PCI DSS 2.2 Maschrar il PAN quando visualizzato (non dvono ssr visibili più di si cifr all'inizio quattro cifr alla fin) Not: qusto rquisito non si applica ai dipndnti ad altr parti ch hanno l'signza azindal lgittima di visualizzar il numro PAN intro. Qusto rquisito non sostituisc i rquisiti più rigorosi pr la visualizzazion di dati di titolari di carta, ad smpio pr ricvut di punti di vndita (POS). 2.1. Rivdr la Guida pr l'implmntazion dl programma PA-DSS prparata dal fornitor vrificar ch includa l sgunti informazioni pr i clinti i rivnditori/rsponsabili dll'intgrazion: I dati di titolari di carta ch suprano il priodo di consrvazion dfinito dal clint dvono ssr liminati Un lnco di tutt l posizioni in cui l'applicazion di pagamnto mmorizza i dati di titolari di carta (in modo ch il clint conosca l posizioni di dati da liminar) Istruzioni pr configurar i sistmi o il softwar sottostant (quali OS, databas, cc.) pr impdir l'acquisizion o la consrvazion involontaria di dati dl titolar di carta. Ad smpio, backup di sistma o punti di ripristino. 2.2 Rivdr l modalità di visualizzazion di dati dll cart di crdito sui divrsi strumnti, inclusi snza limitazioni dispositivi POS, schrmat, rgistri ricvut, pr vrificar ch i numri dlla carta non siano visibili quando si visualizzano i dati di titolari di carta, cctto pr i dipndnti ch hanno un'signza azindal lgittima di vdr i numri di carta di crdito complti. In lina con il Rquisito 3.3 PCI DSS PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 23
Rquisiti PA-DSS Procdur di tst Prsnt 2.3Rndr illggibil almno il numro PAN ovunqu sia mmorizzato (inclusi i dati su supporti digitali portatili, supporti di backup, rgistri) utilizzando uno di sgunti approcci: Hash on-way basati su crittografia avanzata (l'hash dv ssr dll'intro PAN) Troncatura (non si può usar l'hashing pr sostituir la part troncata dl PAN) Tokn pad indicizzati (i pad dvono ssr custoditi in un luogo sicuro) Crittografia avanzata con rlativi procssi procdur di gstion dll chiavi. Not: Pr un utnt non autorizzato è rlativamnt facil ricostruir i dati PAN originali s ha accsso alla vrsion troncata hash dl PAN. Nl caso in cui vrsioni troncata hash dllo stsso PAN siano gnrat da un'applicazion di pagamnto, ultriori controlli andrbbro prdisposti pr vrificar ch non sia possibil corrlar l vrsioni troncata hash pr ricostruir il PAN original. Il PAN dv ssr rso illggibil ovunqu è mmorizzato, anch all'strno dll'applicazion di pagamnto. In lina con il Rquisito 3.4 PCI DSS 2.3 Vrificar ch il PAN sia rso illggibil ovunqu è mmorizzato, com sgu: 2.3.a Esaminar il mtodo adottato pr protggr il PAN, inclusi gli algoritmi di cifratura (s applicabili). Vrificar ch il numro PAN sia stato rso illggibil tramit uno di sgunti mtodi: Hash on-way basati su crittografia avanzata Troncatura Tokn pad indicizzati, con pad custoditi in un luogo sicuro Crittografia avanzata, con rlativi procssi procdur di gstion dll chiavi 2.3.b Esaminar divrs tabll o fil di rpository di dati crati o gnrati dall'applicazion pr vrificar ch il PAN sia rso illggibil. 2.3.c S l'applicazion cra o gnra fil da utilizzar all'strno dlla stssa (ad smpio, fil gnrati pr l'sportazion o il backup), comprsa la mmorizzazion su supporti rimovibili, saminar un campion di fil gnrati, comprsi qulli gnrati su supporti rimovibili (ad smpio, nastri di back-up), pr confrmar ch il PAN è rso illggibil. 2.3.d Esaminar un campion di log di audit crati o gnrati da un'applicazion pr confrmar ch il PAN è rso illggibil oppur liminato dai log. 2.3. S il fornitor dl softwar mmorizza il PAN (ad smpio, pr sguir oprazioni di dbug o risoluzion di problmi sgnalati dai clinti mdiant fil di log, fil di dbug o altri tipi di fil di dati), vrificar ch il PAN sia illggibil in bas ai prcdnti Rquisiti da 2.3.a a 2.3.d. prsnt scadnza/co mmnti PCI PA-DSS Rquisiti procdur di valutazion dlla sicurzza v2.0 Pagina 24