top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

PCI Community meeting e PCI DSS 3.0


PCI Community Meeting

In qualità di QSA e ASV company riconosciuta dal PCI Council, @ Mediaservice.net ha partecipato con due rappresentanti all’annuale “PCI Community Meeting” svoltosi a Nizza tra il 29 e il 31 di ottobre.


 

Il meeting, organizzato dal PCI Council in collaborazione con i principali brand delle carte di pagamento e il cui accesso era riservato alle sole aziende accreditate presso il PCI Council, è stato incentrato principalmente sulla presentazione dei nuovi standard, tra i quali la PCI DSS giunta alla versione 3.0 e pubblicata (oggi), giovedì 7 novembre.

L’appuntamento francese, oltre a fornire indicazioni generiche sul nuovo standard, è stato estremamente prolifico avendo dato occasione di incontrare personalmente il personale del PCI Council, in particolare la Quality Assurance Manager, e i rappresentati dei principali brand (Visa, Mastercard e American Express) con i quali si è potuto dibattere su molti aspetti dello standard che spesso possono risultare oscuri e di difficile comprensione.

Per tutti i partecipanti, il Community meeting è stato occasione di scambio e di confronto sulla comprensione e l’applicazione del nuovo standard e di approfondimento su problematiche operative emerse nell’applicazione della versione 2.0 dello standard.

 

 

PCI 3.0

Ora viene da chiedersi, con la nuova PCI DSS 3.0 e in seguito a quanto emerso dal community meeting, cosa cambia per le aziende che sono già conformi alla PCI DSS 2.0 o che stanno completando il percorso di conformità? Ma se è già uscito il nuovo standard, quello vecchio viene automaticamente cestinato?

Il cambiamento sarà graduale: infatti, per quanto il nuovo standard sia stato pubblicato (oggi), 7 novembre 2013 (https://www.pcisecuritystandards.org/documents/PCI_DSS_v3.pdf), esso avrà validità solo a partire dal 1 gennaio 2014 e convivrà con la precedente versione fino a fine dicembre 2014. Questo permetterà alle aziende di iniziare a prendere confidenza con il nuovo standard che le QSA company hanno avuto in draft già a settembre.
Il 2014 sarà quindi un periodo di sovrapposizione/transizione tra la versione 2.0 e la versione 3.0.  Il PCI Council indica che la versione 2.0 rimarrà effettiva sino al 31 dicembre 2014, permettendo ai soggetti coinvolti di raggiungere conformità indifferentemente sulla vecchia o sulla nuova versione. Dopo tale data dovrà essere impiegata tassativamente la versione 3.0.

 

 

Come rappresentato dalla time-line, per le aziende che hanno già raggiunto la conformità a PCI DSS 2.0 si tratta quindi di iniziare gradualmente ad acquisire e conoscere i principi della versione 3.0, oltre ad intraprendere le attività di adeguamento a questa nuova versione entro la fine del 2014 in quanto da gennaio 2015 potranno essere emessi solo Self-Assessment Questionnaire (SAQ) e Report on Compliance (ROC) che rispecchiano lo standard 3.0.
Questo non significa però che le consuete scadenze annuali subiranno delle variazioni in termini di date: l’emissione dei SAQ o dei ROC/AoC dovrà avvenire sempre entro le medesime scadenze ma relativamente al nuovo standard.

Viene da chiedersi cosa effettivamente cambia per un Merchant o per un Service Provider nell’applicare il nuovo standard.

Il nuovo standard presenta alcune modificazioni e soprattutto molte integrazioni e chiarimenti. In prima istanza, il principio che viene esaltato da Bob Russo, General Manager di PCI SSC, è il concetto di PCI come una business-as-usual-activity.
La scorrevolezza e chiarezza della versione 3.0 dovrebbe consentire una più agevole integrazione della sicurezza nel day-by-day aziendale.

Analizzando in dettaglio il nuovo standard possiamo rilevare le seguenti principali modifiche o i chiarimenti effettuati rispetto a quanto già presente nella versione 2.0:

  • il diagramma di rete deve ora contenere anche la rappresentazione dei flussi dei dati delle carte di pagamento;
  • per i sistemi definiti come “non comunemente affetti da malware” deve essere valutata l’evoluzione delle minacce che vi incombono;
  • devono essere documentate le modalità di gestione di PAN e SAD nella memoria (volatile) dei sistemi nelle fasi di sviluppo del codice (best practice fino al 1 luglio 2015, requisito obbligatorio in seguito);
  • l’accesso ai sistemi dei clienti da parte dei service provider, deve sempre avvenire con credenziali univoche, specificamente generate per il singolo cliente (best practice fino al 1 luglio 2015);
  • deve essere definito un processo di controllo degli accessi fisici che consenta di autorizzare e revocare i permessi al termine delle operazioni previste;
  • nuovi meccanismi e metodologie riconosciute per lo svolgimento di attività di penetration testing  (best practice fino al 1 luglio 2015, requisito obbligatorio in seguito);

 

Dall’elenco si evince che le modifiche apportate alla versione 3.0 della PCI DSS non stravolgono quanto già definito nella versione 2.0, ma pongono solo un maggior accento su alcuni controlli che devono essere più stringenti.
A livello di effort, sicuramente, risulta evidente che il nuovo requisito più oneroso è quello relativo allo svolgimento delle attività di penetration test che dovranno seguire una metodologia riconosciuta per l’esecuzione delle attività e un follow-up obbligatorio che precedentemente non era previsto.

In conclusione, per quanto ci sia un anno abbondante di tempo, Merchant e Service Provider coinvolti nella gestione delle carte di pagamento devono attivarsi per valutare i controlli, sia a livello organizzativo che tecnologico, che devono implementare per essere conformi al nuovo standard entro gennaio 2015. Tale analisi potrà essere svolta durante le periodiche attività di verifica che saranno svolte nel 2014 per i soggetti già conformi e integrando opportunamente quanto già fatto per le aziende che stanno completando il percorso di conformità.
 

Per ulteriori approfondimenti: pci.mediaservice.net

 

07/11/2013 A.Perrone, A.Chiarot, P.Sferlazza - Security Advisory Team @ Mediaservice.net