Requisiti del PCI DSS 4.0
Il Payment Card Industry Data Security Standard (PCI DSS) è uno standard di sicurezza informatica che fornisce una serie di requisiti tecnici e operativi per proteggere i dati di pagamento e ridurre le frodi con le carte di credito. Il PCI DSS è destinato a tutte le entità che memorizzano, elaborano o trasmettono dati di titolari di carta (CHD) e/o dati sensibili di autenticazione (SAD).
La nuova versione dello standard è stata pubblicata il 31 marzo 2022. Le modifiche rispetto alla versione precedente 3.2.1 includono:
- Ampliamento del requisito 8 per implementare l'autenticazione a più fattori (MFA) per tutti gli accessi all'ambiente dei dati dei titolari di carta.
- Aggiornamento della terminologia dei firewall ai controlli di sicurezza di rete per supportare una gamma più ampia di tecnologie utilizzate per raggiungere gli obiettivi di sicurezza tradizionalmente soddisfatti dai firewall.
- Maggiore flessibilità per le organizzazioni nel dimostrare come stanno utilizzando diversi metodi per raggiungere gli obiettivi di sicurezza.
- Aggiunta di analisi del rischio mirate per consentire alle entità la flessibilità di definire la frequenza con cui svolgere determinate attività, in base alle esigenze aziendali e all'esposizione al rischio.
I dettagli sugli aggiornamenti sono disponibili nel documento PCI DSS v4.0 Summary of Changes document sul sito web di PCI SSC.
Che cos'è il PCI DSS?
Il Payment Card Industry Data Security Standard (PCI DSS) è stato sviluppato per incoraggiare e migliorare la sicurezza dei dati dei conti delle carte di pagamento e facilitare l'ampia adozione di misure di sicurezza dei dati sensibili coerenti a livello globale. Il PCI DSS fornisce una serie di requisiti tecnici e operativi per la protezione dei dati degli account e fa parte di una politica generale di sicurezza delle informazioni.
Chi deve rispettare gli standard PCI DSS?
La conformità al PCI DSS è obbligatoria per le istituzioni finanziarie, gli elaboratori di pagamenti online, gli esercenti che accettano carte di pagamento e tutte le organizzazioni che elaborano transazioni con carte di pagamento, memorizzano o accedono a informazioni sulle carte di pagamento, nonché tutti i fornitori di servizi che consentono di operare in qualsiasi punto dell'ecosistema di elaborazione delle carte.
Quando entrerà in vigore il PCI DSS 4.0?
Il PCI DSS v3.2.1 resterà attivo per due anni dopo la pubblicazione della v4.0. In questo modo le organizzazioni hanno il tempo di familiarizzare con la nuova versione e di pianificare e implementare le modifiche necessarie. La tempistica di implementazione è mostrata nell'immagine seguente.
Figura 1: cronologia di implementazione di PCI DSS 4.0. Fonte: PCI SSC
Quali ostacoli comuni sono associati al PCI DSS?
- L’inadempimento dei requisiti di conformità allo standard PCI DSS può comportare multe, tariffe maggiorate o persino la cessazione della capacità di elaborare transazioni con carte di pagamento.
- La conformità al PCI DSS non può essere considerata in modo isolato; le organizzazioni sono soggette a molteplici mandati di sicurezza e a leggi o regolamenti sulla protezione dei dati e sulla privacy. D’altra parte, i progetti di messa in conformità con il PCI possono essere sviati da iniziative più ampie per la sicurezza delle imprese.
- Le indicazioni e raccomandazioni legate ai requisiti del PCI DSS includono pratiche comuni che probabilmente sono già state implementate. Tuttavia, alcuni aspetti, in particolare quelli associati alla crittografia e all'autenticazione a più fattori, potrebbero essere nuovi per l'organizzazione e l'implementazione può perturbarne l'attività, con un impatto negativo sull'efficienza operativa se non viene progettata correttamente.
- È fin troppo facile ritrovarsi con un approccio frammentato alla sicurezza, basato su molteplici soluzioni proprietarie dei fornitori e su tecnologie inadeguate che sono costose, complesse da gestire e creano ulteriori vulnerabilità.
- Esistono opportunità per ridurre la portata degli obblighi di conformità al PCI DSS e quindi ridurre i costi e l'impatto; tuttavia, le organizzazioni possono perdere tempo e denaro se non esercitano la dovuta diligenza per garantire che i nuovi sistemi e processi siano accreditati come conformi al PCI DSS.
Quali sono le sanzioni per la mancata conformità al PCI DSS?
Le sanzioni per la mancata conformità al PCI DSS possono includere multe da 5 a 100 mila dollari al mese. Le sanzioni possono anche includere maggiori requisiti di audit e la potenziale chiusura dell'attività della carta di credito da parte di una banca d'investimento o di un marchio di carte di credito.
Conformità al PCI DSS (Payment Card Industry Data Security Standard) 4.0
Scopri la conformità al PCI DSS 4.0, l'ultimo aggiornamento del Payment Card Industry Data Security Standard, e come Thales può contribuire a proteggere i dati dei titolari di carta in ambienti informatici ibridi.
Come Thales contribuisce alla conformità al PCI DSS
Grazie a decenni di esperienza nel contribuire alla conformità di banche e istituzioni finanziarie ai mandati del settore, Thales offre prodotti e servizi integrati che consentono alla tua organizzazione di proteggere i dati memorizzati dei titolari di carta, di crittografarli per il trasferimento, di limitare l'accesso su base "need to know" e di proteggere le applicazioni che gestiscono le transazioni di pagamento. Inoltre, Thales lavora a stretto contatto con una serie di partner per offrire soluzioni complete che possono ridurre la portata degli obblighi di conformità al PCI DSS.
Affrontare i requisiti di conformità al PCI DSS 4.0
Come Thales contribuisce:
- Scopre, analizza e dà priorità alle vulnerabilità.
- Multi-tenant e separazione dei compiti.
- Accesso amministrativo non da console crittografato.
Soluzioni:
Sicurezza dei dati
Come Thales contribuisce:
- Scopre e classifica i dati dei titolari di carta.
- Codifica e tokenizza i dati dei titolari di carta.
- Protegge le chiavi di crittografia nei dispositivi FIPS 140-2 di livello 3.
- Gestisce il ciclo di vita delle chiavi e dei segreti.
Come Thales contribuisce:
- Tokenizza e codifica i dati prima della trasmissione.
- Codifica high-speed dei dati in movimento.
Come Thales contribuisce:
- Ispeziona tutto il traffico, rileva e previene gli attacchi sul web con il WAF.
- Consente solo gli script autorizzati nella pagina di pagamento.
- Scopre, analizza e dà priorità alle vulnerabilità.
- Radice di fiducia di livello 3 FIPS 140-2 per credenziali e chiavi.
Come Thales contribuisce:
- Impedisce l'accesso non autorizzato ai dati e ai segreti protetti dei titolari di carta.
- Separa compiti e accesso con il minimo privilegio.
- Gestisce in maniera centralizzata le identità degli utenti e dei criteri di autenticazione basati sul rischio per gli ambienti di dati dei titolari di carta (CDE).
Soluzioni:
Sicurezza dei dati
Gestione delle identità e degli accessi
Come Thales contribuisce:
- Assicura che a ogni utente sia assegnata una credenziale unica.
- La più ampia gamma di metodi di autenticazione e fattori di forma.
- Criteri gestiti centralmente da un unico back-end di autenticazione fornito sul cloud o on-premise.
Come Thales contribuisce:
- Codifica e tokenizza i dati con distruzione delle chiavi.
- Smart card per il controllo degli accessi fisici.
Soluzioni:
Sicurezza dei dati
Gestione delle identità e degli accessi
Come Thales contribuisce:
- Traccia di audit completa degli eventi di accesso a file, chiavi e segreti inviati al SIEM.
- Verifica continua dell'attività di audit 24/7 365
- Rileva le anomalie con apprendimento automatico per identificare i comportamenti sospetti.
Soluzioni:
Sicurezza dei dati
Gestione delle identità e degli accessi
Come Thales contribuisce:
- Impedisce le modifiche non autorizzate alle pagine di pagamento consentendo solo gli script autorizzati.
Come Thales contribuisce:
- Individua i dati strutturati e non strutturati regolamentati nel cloud, nei big data e nei data store tradizionali.
- Automatizza la bonifica dei dati se il PAN vulnerabile viene trovato al di fuori del CDE.
Risorse correlate
Panoramica della soluzione
Essere pronti per il PCI DSS 4.0 con la Platform Identity OneWelcome di Thales
Altre normative chiave su protezione e sicurezza dei dati
PCI HSM
MANDATO | ATTIVO ORA
Le specifiche del PCI HSM definiscono un insieme di standard di sicurezza logici e fisici per gli HSM, appositamente per il settore dei pagamenti. La certificazione di conformità al PCI HSM dipende dal rispetto di tali standard.
DORA
REGOLAMENTO | ATTIVO ORA
DORA si propone di rafforzare la sicurezza informatica delle entità finanziarie per garantire che il settore finanziario in Europa sia resiliente di fronte al crescente volume e alla crescente gravità degli attacchi informatici.
Norme sulla notifica delle violazioni dei dati
REGOLAMENTO | ATTIVO ORA
In tutto il mondo sono stati emanati obblighi di notifica delle violazioni dei dati in seguito alla perdita di informazioni personali. Variano a seconda della giurisdizione, ma quasi sempre includono una clausola "safe harbor".
GLBA
REGOLAMENTO | ATTIVO ORA
Il Gramm-Leach-Bliley Act (GLBA), conosciuto anche come Financial Services Modernization Act del 1999, impone alle istituzioni finanziarie di spiegare ai clienti le pratiche di condivisione delle informazioni e di salvaguardare i dati sensibili.