top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

FAQ

Le informazioni riportate nelle seguenti frequently asked question si riferiscono a misure, requisiti, impianto documentale ed alla struttura di PCI DSS versione 3.2.

Quale ruolo svolge il Payment Card Industry Security Standards Council (PCI SSC) ?
Il PCI SSC è un Ente indipendente, fondato dai cinque principali brand internazionali (American Express, MasterCard Worldwide, Visa Inc., Discover Financial e JCB International), che supervisiona lo sviluppo e la gestione del Payment Card Industry Data Security Standard (PCI DSS) su base globale. PCI SSC, oltre alle fasi di selezione e accreditamento, si occupa inoltre di monitorare l’operato delle QSA e ASV Company affinché le stesse, nello svolgimento delle attività operative, siano in grado di mantenere i livelli qualitativi richiesti.


Che differenza c’è tra un SAQ e un ROC ?
Il Self Assessment Questionnaire (SAQ, nelle sue declinazioni A, A-EP, B, B-IP, C, C-VT, P2PE, D - Merchant e D - Service Provider) è uno strumento utilizzato per l’autovalutazione della conformità a PCI DSS ed è indirizzato ai merchant di livello 2, 3 e 4 ed ai service provider di livello 2 e 3. Il Report on Compliance (ROC) contiene invece tutti i dettagli che documentano lo stato di conformità a PCI DSS e si applica a merchant e service provider di livello 1.


Che cos’è l’Attestation of Compliance (AOC) ?
L’AOC è il documento utilizzato per indicare che il Report on Compliance (ROC) o l’appropriato Self Assessment Questionnaire (SAQ) è stato definito, attestando così lo stato di conformità dell’azienda.


A chi devo trasmettere il Report on Compliance (ROC), il Self Assessment Questionnaire (SAQ) e l’Attestation of Compliance (AOC) ?
I documenti prodotti che attestano la piena aderenza ai requisiti di PCI DSS devono essere trasmessi a chi ha originato la richiesta di conformità, tipicamente clienti (nel caso dei service provider), banche acquirer e issuer (per quanto riguarda i merchant).


La mia azienda non conserva i dati delle carte, devo comunque applicare i requisiti di PCI DSS ?
PCI DSS specifica che tutti i soggetti che memorizzano, elaborano o trasmettono i dati delle carte di pagamento dovrebbero adottare le misure di sicurezza richieste, seppur con le limitazioni di controllo concesse dai SAQ A, A-EP, B, B-IP, C, C-VT, P2PE. Il SAQ D, ora declinato nella versione merchant e service provider, è invece paragonabile al ROC per esaustività di controllo. In generale, poiché PCI DSS non è ancora un regolamento di adozione obbligatoria, sono prevalentemente gli istituti di credito (banche acquirer e/o issuer delle carte, con i quali si hanno rapporti commerciali) ed i clienti (nel caso dei service provider) che originano la richiesta di conformità allo standard.


Quanto tempo è necessario per valutare, documentare ed applicare tutti i requisiti di PCI DSS ?
Il tempo necessario per raggiungere la conformità è subordinato alla tipologia di trattamenti svolti ed alla complessità dell’azienda e del business. Tuttavia, in termini di statistica slegata da tali specificità, il percorso della conformità ha una durata media che oscilla dai sei ai nove mesi.


Si può applicare PCI DSS a tutti i sistemi aziendali, senza quindi dover segmentare la rete nella quale avvengono i trattamenti dei dati delle carte di pagamento ?
La segmentazione della rete, fisica o logica che sia, non è un requisito di PCI DSS. Tuttavia lo standard, al fine di ottenere minor oneri di gestione e un maggior livello di controllo per i merchant ed i service provider, esorta a separare le reti che memorizzano, elaborano e trasmettono i dati delle carte di pagamento da quelle che svolgono altre funzioni.


Ho una certificazione ISO/IEC 27001, devo creare altra documentazione ?
In prima istanza deve sempre essere valutato il grado di sovrapposizione degli ambiti a cui sono applicati i due standard, in quanto PCI DSS copre tipicamente i processi che coinvolgono le carte di pagamento, mentre l’ambito di applicazione di ISO/IEC 27001 potrebbe essere circoscritto ad altri processi di business. In generale, la documentazione prodotta per ISO/IEC 27001 copre la maggior parte dei requisiti PCI DSS. Tuttavia può essere necessario integrare alcuni requisiti specifici.


Ho una certificazione ISO/IEC 27001, devo creare altra documentazione ?
La documentazione prodotta per ISO/IEC 27001:2013 copre la maggior parte dei requisiti PCI DSS. Tuttavia può essere necessario integrare alcuni requisiti specifici.


Come devo gestire la documentazione PCI DSS ?
Con documenti semplici, costantemente aggiornati, diffusi a tutto il personale coinvolto nei trattamenti dei dati delle carte. I documenti dovrebbero essere aderenti alla realtà aziendale, non derivati da documentazione corporate, e possibilmente nella stessa lingua del paese in cui si svolgono i trattamenti.


Ho superato con successo un Vulnerability Scan esterno. Significa che sono conforme a PCI DSS ?
No. L’aver superato una verifica delle vulnerabilità sul perimetro esterno di trattamento dei dati delle carte di pagamento non costituisce prova di aver valutato, documentato e applicato tutti gli altri requisiti di PCI DSS.


Ho raggiunto la conformità o la certificazione a PCI DSS, ora ho altre attività da svolgere ?
Il ciclo di mantenimento di PCI DSS prevede che il modello implementato sia riesaminato, controllato ed aggiornato a scadenze periodiche o al manifestarsi di cambiamenti rilevanti del contesto operativo. Questo ciclo di miglioramento coinvolge le politiche e le procedure per la sicurezza delle informazioni, il monitoraggio degli eventi di sicurezza e le attività di verifica tecnologica, quali Vulnerability Scan e Penetration Test.


Quali verifiche di sicurezza periodiche devo eseguire per mantenere la conformità a PCI DSS ?
Seppur i requisiti cambino a seconda della tipologia di Self Assessment Questionnaire (SAQ) applicabile e siano invece stabili in caso di Report on Compliance (ROC), in generale si può affermare che per confermare la conformità a PCI DSS si debbano svolgere le seguenti attività periodiche: Penetration Test annuale, interno ed esterno, svolto da personale qualificato, su sistemi ed applicativi; Vulnerability Scan trimestrale, esterno, svolto unicamente da personale certificato come Approved Scanning Vendor (ASV) appartenente ad una ASV Company; Vulnerability Scan trimestrale, interno, svolto da personale qualificato; Scan Wireless trimestrale, interno, dove applicabile, per la rilevazione di Rogue Access Point e/o reti Wi-Fi non autorizzate, svolto da personale qualificato. Si specifica inoltre che la ripetizione dei Vulnerability Scan e dei Penetration Test dovrebbe essere svolta anche nel caso di cambiamenti significativi del perimetro di trattamento dei dati delle carte di pagamento.


Come posso mantenere la conformità in caso di aggiornamento dello standard PCI DSS ?
Per ridurre al minimo l’impatto di cambiamenti significativi apportati allo standard, il PCI SSC ha stabilito che tali cambiamenti siano apportati all’interno del ciclo triennale di aggiornamento di PCI DSS. Questo modello, che prevede un periodo di adeguamento per le aziende di 14 mesi, si basa sul principio che PCI SSC vuole assicurarsi che le aziende dispongano del tempo sufficiente per migrare al nuovo standard, senza compromettere il loro stato di conformità.


Quali sono le conseguenze derivanti dal mancato rispetto dei requisiti PCI DSS ?
Le conseguenze possono essere diverse. In prima istanza possono esserci maggiori oneri provenienti da sanzioni che possono oscillare da 5.000 a 25.000 US$ mensili, sicuramente “fastidiosi” per i grandi player ma di impatto rilevante per le imprese più piccole. In seconda istanza, dove la non conformità emerga da subite violazioni dei dati delle carte di pagamento dei clienti (i c.d. data breach) il danno di immagine e reputazione può essere incalcolabile. In ultima istanza, nei casi più gravi, la banca e/o l’acquirer di riferimento potrebbe anche richiedere di sospendere le transazioni effettuate mediante carte di debito e di credito.


Sono conforme a PCI DSS e con il supporto di un Qualified Security Assessor (QSA) è stato prodotto un Report on Compliance (ROC), quando mi sarà spedito il certificato ?
Seppur alcuni producano certificati, lettere o altra documentazione che attesti una sorta di certificazione a PCI DSS, lo standard prevede che questa venga raggiunta con evidenze di conformità, cioè in prima istanza mediante il Report on Compliance (ROC) e relativo Attestation of Compliance (AOC), o mediante il Self Assessment Questionnaire (SAQ) contenente anch’esso l’AOC. Infatti, in aggiunta ai moduli e template ufficiali del PCI SSC, alcune QSA e ASV Company producono certificati, lettere o altra documentazione che attesta la conformità a PCI DSS delle aziende verificate. PCI SSC non impedisce alle QSA e ASV Company di produrre questo tipo di documentazione.