top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

Rilascio della nuova versione 3.2 dello standard PCI DSS


Il 28 Aprile 2016 il PCI Security Standards Council (PCI SSC) ha pubblicato la nuova versione dello standard PCI DSS, relativo alla di sicurezza dei dati delle carte di pagamento.

 

Il PCI Data Security Standard (PCI DSS) 3.2 sostituisce la versione 3.1, rilasciata a sua volta nell’aprile 2015, al fine di adeguare lo standard alle crescenti minacce a cui sono quotidianamente sottoposte le informazioni ed i dati delle carte di pagamento.

 

Giova ricordare che le Aziende che si occupano di acquisire, trasmettere, conservare o elaborare i dati delle carte di pagamento, devono conformarsi rispetto allo standard e possono conseguentemente da subito approcciare il loro percorso traguardando direttamente la nuova versione dello stesso.

 

Per le Aziende che hanno già raggiunto la conformità a PCI DSS 3.1, si tratta invece di iniziare gradualmente ad acquisire e conoscere i principi della versione 3.2 eventualmente avvalendosi della consulenza di un QSA (Qualified Security Assessor) ed intraprendere le attività di adeguamento a questa nuova versione; le stesse dovranno necessariamente essere completate entro il 31 Ottobre 2016.

 

A partire dal Novembre 2016 potranno essere emessi solo Self-Assessment Questionnaire (SAQ) e Report on Compliance (RoC) che rispecchieranno lo standard 3.2.


Le consuete scadenze annuali dei SAQ o dei RoC e dei relativi AoC, non subiranno delle variazioni in termini di date: la ri-emissione degli stessi dovrà avvenire sempre entro un anno dalla precedente compilazione, adeguandosi, secondo le scadenze previste, ai requisiti contenuti nel nuovo standard.

 

Essendo oramai lo standard PCI DSS riconosciuto dal mercato come maturo, le principali modifiche introdotte con la versione 3.2 sono in buona parte costituite da chiarimenti sui requisiti volti ad implementare dei controlli di sicurezza efficaci ed inseriti in un processo di monitoraggio continuo.

 

Analizzando in dettaglio il nuovo standard possiamo rilevare le seguenti principali modifiche rispetto a quanto già presente nella versione 3.1:

 

  • i requisiti di mascheramento dei PAN (6/4) sono resi più flessibili in caso di specifiche e motivate necessità di business che dovranno però essere formalmente documentate
  • l’autenticazione multi-fattore è richiesta per ogni accesso amministrativo all’ambiente dove sono presenti i dati dei titolari di carta (CDE), mentre precedentemente era richiesto solamente per gli accessi remoti
  • creazione di una apposita appendice con specifici requisiti (Annex A2) per le entità che non hanno ancora completato il passaggio alle versioni TLS ritenute sicure. Tali controlli prevedono la redazione di un Risk Mitigation e un Mitigation Plan
  • I Brand o gli Acquirer hanno la facoltà di identificare, a loro discrezione, delle entità a cui far applicare in modo più stingente alcuni requisiti al fine di assicurare il mantenimento effettivo della conformità sui controlli di sicurezza su base continuativa

 

Per i soli Service Provider, sono stati introdotti i seguenti nuovi requisiti:

 

  • effettuare semestralmente un Penetration Test per verificare la segmentazione dell’ambiente dei dati delle carte di pagamento
  • mantenere una dettagliata documentazione dell’architettura di cifratura implementata
  • definire un processo per l’identificazione, la segnalazione e la risposta alle anomalie dei sistemi dedicati alla protezione dei dati delle carte di pagamento
  • formalizzare le responsabilità per la protezione dei dati dei titolari di carta (CHD)
  • effettuare una review trimestrale dell’applicazione di politiche e procedure da parte dei dipendenti, al fine di confermare che il personale segua e rispetti quanto in questi prescritto

 

Per ulteriori approfondimenti: pci.mediaservice.net