Revisioni e conformità per il Payment Card Industry Data Security Standard (PCI DSS)

Oltre 200 test misurati su sei principi chiave

Lo standard PCI DSS (www.pcisecuritystandards.org) prevede una valutazione con oltre 200 test che rientrano in 12 aree di sicurezza generale che rappresentano sei principi chiave. Questi test PCI DSS coprono un’ampia gamma di pratiche di sicurezza comuni insieme a tecnologie come la crittografia, la gestione delle chiavi e altre tecniche di protezione dei dati.

Rischi associati alle revisioni e conformità per il PCI DSS

• L’inadempimento dei requisiti di conformità allo standard PCI DSS può comportare multe, tasse maggiorate o persino la cessazione della capacità di elaborare transazioni con carte di pagamento.
• La conformità con lo standard PCI DSS non può essere considerata isolata: le organizzazioni sono infatti soggette a molteplici mandati di sicurezza e leggi o normative sulla notifica delle violazioni di dati. D’altra parte, i progetti di messa in conformità con lo standard PCI possono essere sviati da iniziative più ampie per la sicurezza delle imprese.
• Le indicazioni e raccomandazioni legate ai requisiti dello standard PCI DSS includono pratiche comuni che probabilmente sono già state implementate. Tuttavia, alcuni aspetti, soprattutto quelli associati alla crittografia, potrebbero essere una novità per le organizzazioni e la loro implementazione potrebbe rivelarsi dirompente, incidendo negativamente sull’efficienza operativa se la realizzazione non avviene in maniera corretta.
• È fin troppo facile adottare un approccio frammentato alla sicurezza basato su più soluzioni proprietarie e tecnologie inadeguate che sono costose e complesse da operare.
• È possibile ridurre la portata degli obblighi di conformità allo standard PCI DSS diminuendo dunque i costi e l’impatto; tuttavia, le organizzazioni possono sprecare tempo e denaro se non si adoperano per garantire che i nuovi sistemi e processi siano di fatto accettati come conformi allo standard PCI DSS.

Una soluzione integrata di conformità

Attingendo a decenni di esperienza nell’aiutare banche e istituzioni finanziarie a rispettare i mandati di settore, Thales offre prodotti e servizi integrati che consentono alla tua organizzazione di proteggere i dati dei titolari di carta, crittografarli prima del trasferimento e limitare l'accesso al personale che ne ha effettivamente bisogno. Inoltre, Thales lavora a stretto contatto con una serie di partner per offrire soluzioni complete che possono ridurre la portata degli obblighi di conformità allo standard PCI DSS.

Affrontare i principi chiave del PCI DSS

Thales offre soluzioni software complete appositamente concepite per lo standard PCI DSS, che aiutano le organizzazioni ad affrontare i sei principi chiave di queste norme:

• Protezione dei dati a riposo sui titolari di carta: il CipherTrust Manager e gli HSM (Hardware Security Module) Luna di Thales permettono alle organizzazioni di gestire in maniera centralizzata le chiavi di crittografia e forniscono una serie di soluzioni di crittografia, tokenizzazione e mascheramento dei dati per proteggere i dati dei titolari di carta in file, cartelle, applicazioni e database in ambienti tradizionali, cloud o virtualizzati.
• Crittografia dei dati in movimento dei titolari di carta: gli HSE (High Speed Encryptor) di Thales crittografano tutti i dati che attraversano le reti aperte tra i dispositivi e i sistemi POS che elaborano i dati dei titolari di carta.
• Sviluppo e gestione di sistemi e applicazioni sicuri: gli HSM Luna di Thales permettono alle organizzazioni di archiviare in sicurezza chiavi crittografiche in un dispositivo hardware affidabile, garantendo così l’autenticità e l’integrità di qualunque file di codice delle applicazioni.
• Implementazione di forti misure di controllo degli accessi: i prodotti CipherTrust possono essere configurati per permettere un accesso amministrativo unico e multifattoriale ai sistemi che memorizzano i dati dei titolari di carta. Inoltre, SafeNet Trusted Access ti consente di gestire in maniera centralizzata identità utente univoche e criteri di autenticazione basati sul rischio, nonché aggiungere e revocare l’accesso ai sistemi nel tuo ambiente CDE (Cardholder Data Environment).
• Registrazione e monitoraggio di tutti gli accessi ai dati dei titolari di carta: tutti i prodotti nel portfolio di protezione dei dati CipherTrust di Thales producono record di audit che registrano qualunque operazione del ciclo di vita delle chiavi di crittografia (creazione / eliminazione / rotazione / revoca) e altre funzioni amministrative che possono essere utilizzate per ricostruire gli eventi.