top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

PCI DSS - Come affrontare gli ostacoli nascosti nel percorso di certificazione.


Se per alcune Organizzazioni con un buon livello di strutturazione risulta più facile ottenere e mantenere la conformità ai requisiti di PCI DSS - si pensi per esempio a quelle Aziende che hanno già una buona maturità in termini di sicurezza o dove sono già presenti standard per la Sicurezza delle Informazioni (ad es. ISO/IEC 27001) o regole per la Governance (ad es. il D.Lgs. 231/01), o più semplicemente il D.Lgs. 196/03 - per quelle meno virtuose può rivelarsi un percorso più accidentato e ricco di ostacoli.

 

Come riportato anche dal “PCI Compliance report 2015 redatto da Verizon ed in relazione ai data breach che hanno caratterizzato il 2014, emerge la seguente situazione:

 

  • Seppur la situazione sia migliorata rispetto agli anni precedenti (92,5% nel 2012 e 88.9% nel 2013), l’80% delle aziende certificate PCI DSS non risultano adeguate nella valutazione intermedia di conformità;
  • Le maggiori criticità si verificano nei Capitoli 7 - Restrict access to cardholder data by business need to know, 4 - Encrypt transmission of cardholder data across open, public networks e 9 - Restrict physical access to cardholder data di PCI DSS;
  • Nel periodo di osservazione (il 2014), le 9.700 aziende prese in esame hanno segnalato complessivamente 43 milioni di incidenti sulla sicurezza (!!), con un’incidenza di circa 4.400 incidenti ognuna.

 

Per quanto riguarda l’esperienza diretta di @ Mediaservice.net S.r.l., in qualità Security Advisory Company in attività dal 2000 e con qualifica di PCI Qualified Security Assessor Company (QSAC) dal 2009, i principali ostacoli individuati nel percorso di raggiungimento e mantenimento della conformità allo standard PCI DSS possono essere riassunti in nove principali punti, indicati nell’elenco seguente ed ordinati secondo la maggior frequenza rilevata, con dati provenienti da esperienze su settori eterogenei di attività e con diversificate tipologie di trattamento dei dati delle carte di pagamento.

 

In particolare:

 

  1. LIBERA INTERPRETAZIONE DELLO STANDARD
    Comprendere le intenzioni del Payment Card Industry Security Standard Council (PCI SSC) e nel contempo la pervasività imposta dello standard, richiede obbligatoriamente una conoscenza approfondita dei contenuti, quali: linee guida di sicurezza, tecniche di applicazione e verifica, FAQ e altri materiali informativi via via pubblicati in relazione all’evolversi delle tecnologie ed ai modelli di pagamento. Per raggiungere questo obbiettivo, oltre ovviamente al supporto ed all’esperienza di QSA e ASV Company1 accreditate, PCI SSC mette a disposizione delle Organizzazioni appositi percorsi formativi, quale ad esempio la certificazione di Internal Security Assessor (ISA), utile all’acquisizione delle competenze necessarie a gestire consapevolmente il proprio progetto di certificazione, congiuntamente ai Qualified Security Assessor (QSA).
     
  2. ASSIMILARE PCI DSS AD UN SISTEMA DI GESTIONE DELLA QUALITA’
    PCI DSS non è un Sistema di Gestione della Qualità (SGQ). La verifica periodica di un SGQ può sollevare non conformità e/o osservazioni che spesso si traducono in azioni correttive e di miglioramento che sovente  hanno un impatto limitato e poco significativo per l’Organizzazione. Lo standard PCI DSS è invece “compliance”, cioè molto più similare alla gestione della conformità verso la legislazione vigente, le cui ricadute in caso di non conformità possono comportare la perdita di contratti e commesse o l’attribuzione di penali e sanzioni, quindi con un impatto diretto sul business e sul patrimonio dell’Organizzazione. Un SGQ, diversamente da PCI DSS, è anche un Sistema di Gestione che regola processi meno soggetti a variazioni e sganciati dal rapido evolvere delle tecnologie.
     
  3. GESTIONE DEI CONTROLLI DI SICUREZZA
    I controlli di sicurezza previsti dallo standard (sovrapponibili ad altri Sistemi di Gestione per la Sicurezza delle Informazioni), una volta applicati, dovrebbero essere mantenuti attivamente nel tempo, tracciandone e monitorandone la gestione, al fine di poterne determinare la costante efficienza ed attualità. Un controllo di sicurezza implementato ma non gestito non consente la produzione di registrazioni relative al suo buon funzionamento, quindi risulta difficile sostenerne l’aderenza nel tempo allo standard.
     
  4. LEADERSHIP
    PCI DSS è spesso identificato come uno standard unicamente IT e ne è demandata la sua gestione solo a questi dipartimenti. Le aree delegate alla gestione organizzativa, delle risorse umane, delle problematiche di natura legale o di relazione con i fornitori, per fare alcuni esempi, ne sono tendenzialmente disinteressate. In buona sostanza, ci si trova in forte carenza di leadership, cioè di commitment da parte del Top Management, alimentando così, nelle strutture sottostanti, la percezione che PCI DSS non sia un obbiettivo rilevante per il business dell’Organizzazione.
     
  5. ECCESSIVA CONFIDENZA NEL PROPRIO LIVELLO DI SICUREZZA
    Quando si tende a sovrastimare la propria postura in materia di sicurezza, anche quando questa ha raggiunto un certo livello di maturità o, ancora peggio, quando questa è solo abbozzata, si tende ad essere troppo confidenti e ad assumere un atteggiamento rilassato che spesso impedisce di affrontare con la dovuta attenzione un percorso di cambiamento importante. In questi casi, ci si convince che nessun costo (interno o esterno che sia) sia commisurato alla distanza da colmare tra la propria condizione e quella richiesta dallo standard.
     
  6. TURN OVER E ASSENZA DI PERSONALE
    Nella situazione in cui la conformità è stata raggiunta, o è quasi raggiunta, si stabilisce una certa condizione di equilibrio. Purtroppo, questo (sottile) equilibrio, poiché nelle aziende ci si trova facilmente anche ad essere sottodimensionati, è spesso legato alla buona volontà di un Responsabile e/o del Security Officer che si fa carico del percorso di raggiungimento e mantenimento dello standard. Nel caso in cui a queste persone vengano assegnate nuove mansioni o, peggio (ma ovviamente nel loro diritto) lascino l’azienda per nuovi incarichi, si manifesta un forte indebolimento, anche se temporaneo, nella continuità di gestione di PCI DSS.
     
  7. ASSEGNAZIONE DI RUOLI FORMALI
    Strettamente legato ai p. 4 e 6 del presente elenco, un altro fattore di insuccesso è da imputarsi a carenze nell’assegnazione degli incarichi formali al personale. PCI DSS prevede infatti un certo numero di ruoli formali (ad es. amministratori di sistema, incaricato al trattamento dei dati delle carte di pagamento, gestione della sicurezza, gestione della documentazione, ecc.) che spesso risultano assenti e/o talvolta nemmeno in linea con le prescrizioni in materia di Protezione dei dati personali - D.Lgs. 196/03.
     
  8. DIFFICOLTA’ DI CONTROLLO DELLE TERZE PARTI
    Maggiore è il numero delle terze parti impiegate per la gestione o l’erogazione dei servizi necessari per la memorizzazione, elaborazione o trasmissione dei dati delle carte di pagamento, maggiori sono i requisiti di PCI DSS che le terze parti devono dimostrare di gestire attivamente. Quando la proporzione di servizi affidati all’esterno è alta, è bene accertarsi che le terze parti siano attori già conformi a PCI DSS o sappiano indirizzare efficacemente i suoi requisiti. Spesso i ritardi accumulati nel percorso di conseguimento della conformità dipendono proprio dai tempi di adozione delle misure necessarie ad opera delle terze parti.
     
  9. RISPETTO DELLE TEMPISTICHE RICHIESTE
    Con particolare riferimento al p. 6 del presente elenco, la mancanza anche temporanea di un Responsabile o del personale cui è affidata la gestione o l’esecuzione di alcune attività (come ad es. i vulnerability assessment interni trimestrali) può causare lacunosità molto difficili da colmare e giustificare a posteriori.

 

PCI DSS è uno standard la cui adozione richiede l’assegnazione di adeguate risorse (persone, strumenti e budget). Il personale dedicato ai processi richiesti dovrebbe possedere una buona preparazione in materia di sicurezza delle informazioni e/o partecipare a incontri formativi periodici (pensiamo solo alle capacità di valutazione richieste al personale dedicato alla gestione degli incidenti).

 

Anche nel caso in cui l’Organizzazione disponga di una buona maturità in materia di sicurezza delle informazioni, i tempi di applicazione delle misure richieste - considerando la forbice che può intercorrere tra l’applicabilità dei requisiti alla singola realtà (ad es. la diversa complessità che intercorre tra SAQ A e SAQ D, ROC), l’adeguamento dei sistemi informativi, le verifiche tecnologiche, la formazione, la produzione di registrazioni, ecc.  - si aggirano statisticamente tra i 4 mesi e i 6 mesi.

 

E’ importante quindi che gli obbiettivi legati al raggiungimento della conformità tengano conto di queste tempistiche, della necessità di disporre con continuità delle risorse adeguate e di un’attiva partecipazione dei soggetti apicali dell’Organizzazione.

 

In ultimo, quando il Top Management è il primo promotore di questo percorso certificativo, si dispone dello slancio necessario per superare la maggior parte degli ostacoli, riuscendo inoltre ad ottenere un effettivo miglioramento della governance della sicurezza per i propri processi di business.

 

Per approfondimenti:

- PCI Compliance report 2015

 

02/05/2015 - Angelo Chiarot, Security Advisory Team @ Mediaservice.net



1 Qualified Security Assessor (QSA) Company e Approved Scanning Vendor (ASV) Company.