top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

@ Mediaservice.net - PCI QSA e ASV Company

Payment Card Industry - Data Security Standard (PCI DSS) è l´unico standard riconosciuto a livello internazionale che interessa i soggetti che a qualsiasi titolo memorizzano, elaborano o trasmettono il numero delle carte di credito o di debito (PAN). Lo standard viene sviluppato e gestito dal Payment Card Industry - Security Standard Council (PCI SSC), forum mondiale aperto che si occupa del controllo dei Certificatori accreditati. PCI Council è nato nel 2006 da un progetto in ambito information security ed è promosso dai principali brand delle carte di pagamento: VISA, MasterCard, American Express, JCB e Discovery.

PCI DSS si relaziona direttamente con altri standard riconosciuti nell´ambito dell'Information Security (quali ad esempio ISO/IEC 27001 e OSSTMM) seppur non caratterizzandosi come best practice di alto livello e declinando le misure definite in modo pratico, suggerendo quindi un modello puntuale per la gestione dei sistemi informativi, della sicurezza fisica e degli aspetti organizzativi.

Al fine di ricomprendere tutti gli attori coinvolti nelle attività di pagamento con le carte di debito e di credito, PCI DSS individua gli Issuer (i soggetti che emettono le carte), gli Acquirer (i soggetti che autorizzano le transazioni), i Merchant (soggetti che traggono profitto dalla transazione, tipicamente definibili come esercenti) e i Service Provider (i soggetti che a diverso titolo concorrono e supportano i Merchant nell´erogazione dei servizi di pagamento).

 

Lo standard PCI DSS è costituito da 12 capitoli, raggruppabili in 6 categorie, che dettagliano più di 200 requisiti indirizzati alla gestione della sicurezza organizzativa, logica e fisica, in linea quindi con le principali best practice di settore.

I benefici derivanti dall´adozione dello standard PCI DSS sono molteplici, alcuni dei quali così sintetizzabili:

  • garantire la conformità per il trattamento dei dati delle carte di pagamento, al fine di soddisfare le richieste originate dagli Acquirer o dai Merchant;
  • ottenere un maggiore livello di sicurezza, migliori capacità di prevenzione e reazione agli incidenti e la soddisfazione dei principali requisiti cogenti (ad es. in materia di protezione dei dati personali - D.Lgs. 196/03);
  • evitare sanzioni che possono variare dai 5.000 ai 200.000 US $ a incidente, quale effetto della compromissione di ambienti che memorizzano, elaborano o trasmettono i dati delle carte di pagamento.

@ Mediaservice.net, Security Advisory Company, sin dalla sua fondazione avvenuta nell'anno 2000, si è contraddistinta per le sue competenze nell'ambito delle attività di Vulnerability Assessment, Penetration Test e dell'Information Security, utilizzando standard di rilievo internazionale, per i quali la società è sia Autore, sia Contributore.

In tale quadro, è chiaro come l'unione di queste comprovate competenze ha consentito di condurre significative realtà nazionali ed internazionali alla conformità a PCI DSS, ottenendo sin dal 2009 il riconoscimento dal PCI SSC quale QSA Company italiana, divenendo in seguito anche ASV Company.

Il riconoscimento del PCI SSC quale QSA e ASV Company, ha consentito a @ Mediaservice.net di formare e certificare parte dei propri Senior Security Advisor come QSA (Qualified Security Assessor) e ASV (Approved Scanning Vendor).

Questi ruoli sono centrali all´interno del percorso finalizzato al raggiungimento della conformità poichè si occupano della totalità delle azioni che porteranno il Cliente a questo risultato. Il QSA, infatti, è il profilo delegato alle verifiche ispettive che assicurano la conformità allo standard, il quale, in collaborazione con l´ASV per lo svolgimento delle attività di Vulnerability Assessment, procede alla certificazione degli ambienti PCI DSS Compliant.

Ma come si compone il processo per il raggiungimento della conformità, definito da @ Mediaservice.net, che include tutte le attività necessarie a tale scopo?

Sicuramente mediante l´utilizzo di metodologie approvate dal PCI SSC (quali ad es. ISO/IEC 27001 e 27005, OSSTMM e OWASP), oltre alle compentenze acquisite sul campo, fattori che hanno permesso la definizione delle seguenti fasi di lavoro:

 

  • GAP ANALYSIS (QSA)
    la prima verifica dello stato di conformità a PCI DSS del Cliente
  • VULNERABILTY ASSESSMENT PRELIMINARE (ASV)
    il test preliminare delle vulnerabilità tecnologiche delle reti, sistemi ed applicazioni dell´ambito PCI DSS di riferimento
  • REMEDIATION PLAN
    la prescrizione delle azioni utili al raggiungimento della conformità
  • VULNERABILITY ASSESSMENT CERTIFICATIVO (ASV)
    il test delle vulnerabilità tecnologiche, ora svolto per finalità certificative
  • PENETRATION TEST
    il test che sfrutta le vulnerabilità tecnologiche, utile a valutare la sicurezza complessiva di reti, sistemi e applicazioni
  • AUDIT CERTIFICATIVO (QSA)
    la verifica ispettiva finale, propedeutica alla definizione dei documenti formali richiesti da PCI SSC
  • MANTENIMENTO DELLA CERTIFICAZIONE (ASV)
    le verifiche tecnologiche trimestrali, necessarie per il mantenimento della certificazione

 

 

 

Per maggiori informazioni, contattateci all'indirizzo pci@mediaservice.net

Vai alla scheda del servizio

Autovalutazione

Identifica gli adempimenti che la tua azienda dovrebbe sostenere, in relazione ai volumi ed alle tipologie di trattamento svolte sulle carte di pagamento.


Faq

I quesiti e i dubbi posti con maggiore frequenza circa SAQ, ROC, AOC, Merchant, Service Provider e altro ancora.


PCI DSS - V. 3.0

PCI DSS definisce un ecosistema operativo composto da dispositivi di pagamento, applicazioni, infrastrutture e utenti.

QSA e ASV Company italiana

@ Mediaservice.net, azienda product, technology e vendor indipendent, è una società italiana a capitale privato accreditata ed abilitata direttamente dal PCI SSC, per la valutazione e la validazione di ambienti PCI DSS compliant. I Security Advisor di @ Mediaservice.net, tutto personale assunto e di lingua italiana, posseggono certificazioni individuali rilasciate da PCI SSC, per lo svolgimento di progetti in qualità di Qualified Security Assessor (QSA) e Approved Scanning Vendor (ASV).


PCI DSS life-cycle

PCI DSS è uno standard in continua evoluzione, con un ciclo di vita, di ogni release, della durata di tre anni. I criteri di aggiornamento dello standard si basano non solo sugli impatti derivanti dalla evoluzione tecnologica di sistemi, apparati ed applicazioni, ma anche sulla nascita ed il consolidamento di nuovi canali di pagamento.

Il ciclo di vita di PCI DSS 2.0 si è concluso con la pubblicazione della versione 3.0 nel novembre 2013 ed ora i gruppi di lavoro hanno inziato il nuovo ciclo triennale che si completerà nel 2016 con il rilascio della nuova versione.


PCI DSS: QSA e ASV

@ Mediaservice.net, dispone di Security Advisor qualificati QSA e ASV che posseggono i seguenti ulteriori rinoscimenti e certificazioni: LA27001, LA22301, LA9001, IA20000, ITIL, CISSP, CSSLP, OPST, OPSA, EXIN, OWSE, ISFS, ITSM, ISMA, CISA, CISM, CRISC e COBIT 5.


PCI DSS: ROC e SAQ

La compliance a PCI DSS, come richiesto dal PCI SSC, si manifesta in ultima istanza con la produzione di documenti formali che attestano e certificano la raggiunta conformità ai requisiti dello standard.

In particolare, secondo il Livello cui appartengono i Merchant e i Service Provider, ruoli più tipicamente impattati da PCI DSS, si produce il Report On Compliance (ROC) ed il Self Assessment Questionnaire (SAQ).

Il ROC è applicabile a tutti i Merchant e Service Provider di Livello 1, cioè tipicamente quelli che secondo i diversi Brand effettuano dai 2,5 ai 6 milioni di transazioni l'anno. Il SAQ è invece applicato a Merchant e Service Provider di livello 2, 3 e 4.