@ Mediaservice.net - PCI QSA e ASV Company

Payment Card Industry - Data Security Standard (PCI DSS) è l´unico standard riconosciuto a livello internazionale che interessa i soggetti che a qualsiasi titolo memorizzano, elaborano o trasmettono il numero delle carte di credito o di debito (PAN). Lo standard viene sviluppato e gestito dal Payment Card Industry - Security Standard Council (PCI SSC), forum mondiale aperto che si occupa del controllo dei Certificatori accreditati. PCI Council è nato nel 2006 da un progetto in ambito information security ed è promosso dai principali brand delle carte di pagamento: VISA, MasterCard, American Express, JCB e Discovery.

PCI DSS si relaziona direttamente con altri standard riconosciuti nell´ambito dell'Information Security (quali ad esempio ISO/IEC 27001 e OSSTMM) seppur non caratterizzandosi come best practice di alto livello e declinando le misure definite in modo pratico, suggerendo quindi un modello puntuale per la gestione dei sistemi informativi, della sicurezza fisica e degli aspetti organizzativi.

Al fine di ricomprendere tutti gli attori coinvolti nelle attività di pagamento con le carte di debito e di credito, PCI DSS individua gli Issuer (i soggetti che emettono le carte), gli Acquirer (i soggetti che autorizzano le transazioni), i Merchant (soggetti che traggono profitto dalla transazione, tipicamente definibili come esercenti) e i Service Provider (i soggetti che a diverso titolo concorrono e supportano i Merchant nell´erogazione dei servizi di pagamento).

 

Lo standard PCI DSS è costituito da 12 capitoli, raggruppabili in 6 categorie, che dettagliano più di 200 requisiti indirizzati alla gestione della sicurezza organizzativa, logica e fisica, in linea quindi con le principali best practice di settore.

I benefici derivanti dall´adozione dello standard PCI DSS sono molteplici, alcuni dei quali così sintetizzabili:

• garantire la conformità per il trattamento dei dati delle carte di pagamento, al fine di soddisfare le richieste originate dagli Acquirer o dai Merchant;
• ottenere un maggiore livello di sicurezza, migliori capacità di prevenzione e reazione agli incidenti e la soddisfazione dei principali requisiti cogenti (ad es. in materia di protezione dei dati personali - D.Lgs. 196/03);
• evitare sanzioni che possono variare dai 5.000 ai 200.000 US $ a incidente, quale effetto della compromissione di ambienti che memorizzano, elaborano o trasmettono i dati delle carte di pagamento.

@ Mediaservice.net, Security Advisory Company, sin dalla sua fondazione avvenuta nell'anno 2000, si è contraddistinta per le sue competenze nell'ambito delle attività di Vulnerability Assessment, Penetration Test e dell'Information Security, utilizzando standard di rilievo internazionale, per i quali la società è sia Autore, sia Contributore.

In tale quadro, è chiaro come l'unione di queste comprovate competenze ha consentito di condurre significative realtà nazionali ed internazionali alla conformità a PCI DSS, ottenendo sin dal 2009 il riconoscimento dal PCI SSC quale QSA Company italiana, divenendo in seguito anche ASV Company.

Il riconoscimento del PCI SSC quale QSA e ASV Company, ha consentito a @ Mediaservice.net di formare e certificare parte dei propri Senior Security Advisor come QSA (Qualified Security Assessor) e ASV (Approved Scanning Vendor).

Questi ruoli sono centrali all´interno del percorso finalizzato al raggiungimento della conformità poichè si occupano della totalità delle azioni che porteranno il Cliente a questo risultato. Il QSA, infatti, è il profilo delegato alle verifiche ispettive che assicurano la conformità allo standard, il quale, in collaborazione con l´ASV per lo svolgimento delle attività di Vulnerability Assessment, procede alla certificazione degli ambienti PCI DSS Compliant.

Ma come si compone il processo per il raggiungimento della conformità, definito da @ Mediaservice.net, che include tutte le attività necessarie a tale scopo?

Sicuramente mediante l´utilizzo di metodologie approvate dal PCI SSC (quali ad es. ISO/IEC 27001 e 27005, OSSTMM e OWASP), oltre alle compentenze acquisite sul campo, fattori che hanno permesso la definizione delle seguenti fasi di lavoro:

 

• GAP ANALYSIS (QSA)
  la prima verifica dello stato di conformità a PCI DSS del Cliente
• VULNERABILTY ASSESSMENT PRELIMINARE (ASV)
  il test preliminare delle vulnerabilità tecnologiche delle reti, sistemi ed applicazioni dell´ambito PCI DSS di riferimento
• REMEDIATION PLAN
  la prescrizione delle azioni utili al raggiungimento della conformità
• VULNERABILITY ASSESSMENT CERTIFICATIVO (ASV)
  il test delle vulnerabilità tecnologiche, ora svolto per finalità certificative
• PENETRATION TEST
  il test che sfrutta le vulnerabilità tecnologiche, utile a valutare la sicurezza complessiva di reti, sistemi e applicazioni
• AUDIT CERTIFICATIVO (QSA)
  la verifica ispettiva finale, propedeutica alla definizione dei documenti formali richiesti da PCI SSC
• MANTENIMENTO DELLA CERTIFICAZIONE (ASV)
  le verifiche tecnologiche trimestrali, necessarie per il mantenimento della certificazione

 

 

---

 

Per maggiori informazioni, contattateci all'indirizzo pci@mediaservice.net