Il Payment Card Industry Data Security Standard (PCI DSS) è uno standard di sicurezza delle informazioni utilizzato per gestire le carte di credito dei principali circuiti. Lo standard è gestito dal Payment Card Industry Security Standards Council (PCI SSC) e il suo utilizzo è imposto dai circuiti bancari. È stato creato per controllare adeguatamente i dati delle carte e ridurre così le frodi sulle carte di credito. La convalida della conformità a tale protocollo viene eseguita annualmente o con cadenza trimestrale.[1]
I principali circuiti bancari avevano diversi programmi di sicurezza:
Le intenzioni di ognuna delle aziende erano quelle di creare un ulteriore livello di protezione per gli emittenti di carte, garantendo che i commercianti soddisfino livelli minimi di sicurezza quando archiviano, elaborano e trasmettono i dati delle varie carte. Per risolvere i problemi di interoperabilità tra gli standard esistenti, lo sforzo congiunto delle principali società di carte di credito portò nel dicembre del 2004 alla codifica e rilascio di PCI DSS, versione 1.0. Da allora, PCI DSS è stato implementato in tutto il mondo.
Assieme a esso si costituì il Payment Card Industry Security Standards Council (PCI SSC) per allineare le loro politiche creando il PCI DSS.[4] MasterCard, American Express, Visa, JCB International e Discover Financial Services istituirono il PCI SSC nel settembre del 2006 come entità amministrativa e di governo che impone l'evoluzione e lo sviluppo del PCI DSS.[5] Le organizzazioni private indipendenti possono partecipare allo sviluppo del PCI dopo essersi registrate. Ogni organizzazione partecipante si unisce a un SIG (Gruppo di Interesse Speciale) e contribuisce alle attività affidate dal gruppo. Sono state rese disponibili le seguenti versioni di PCI DSS:[6]
Versione | Data | Appunti |
---|---|---|
1.0 | 15 dicembre 2004 | |
1.1 | Settembre 2006 | chiarimenti e piccole revisioni |
1.2 | Ottobre 2008 | maggiore chiarezza, maggiore flessibilità e gestione dei rischi e delle minacce in evoluzione |
1.2.1 | Luglio 2009 | correzioni minori progettate per creare maggiore chiarezza e coerenza tra gli standard e i documenti di supporto |
2.0 | Ottobre 2010 | |
3.0 | Novembre 2013 | attivo dal 1 gennaio 2014 al 30 giugno 2015 |
3.1 | Aprile 2015 | fino al 31 ottobre 2016 |
3.2 | Aprile 2016 | fino al 31 dicembre 2018 |
3.2.1 | Maggio 2018 | |
4.0 | Marzo 2022 | terminologia firewall aggiornata, espansione del Requisito 8[7] per implementare l'autenticazione a più fattori (MFA), maggiore flessibilità per dimostrare la sicurezza e analisi dei rischi mirate per stabilire il funzionamento e la gestione dell'esposizione al rischio[8] |
Il PCI DSS prevede dodici requisiti di conformità, organizzati in sei gruppi correlati noti come obiettivi di controllo:[9]
Questi sei gruppi non hanno sempre avuto la stessa composizione nelle varie versioni rilasciate; tuttavia, i primi dodici requisiti non furono mai modificati nella loro sostanza sin dalla nascita dello standard. Ciascun requisito e sottorequisito è suddiviso in tre sezioni:
Nella versione 3.2.1 del PCI DSS, i dodici requisiti sono:
Le aziende soggette agli standard PCI DSS devono essere conformi a tale standard; il modo in cui si dimostra la conformità dipende dalla quantità annuale e dalle modalità scelte per effettuare le transazioni. A prescindere da ciò, Un'acquiring bank[11] o un circuito di pagamento può comunque inserire manualmente un'organizzazione in un livello di reporting a sua discrezione.[12] I livelli sono:
La convalida della conformità implica la valutazione e la conferma che i controlli e le procedure di sicurezza sono stati implementati come da protocollo. Essa avviene attraverso una valutazione annuale, da parte di un ente esterno, o tramite autovalutazione.[15]
Un rapporto sulla conformità (ROC, Report On Compliance) viene condotto da un valutatore di sicurezza qualificato PCI (QSA, Qualified Security Assessor) e ha lo scopo di fornire una propria convalida della conformità di un'entità allo standard PCI DSS. Un ROC completo consiste in due documenti: un modello di reporting ROC riportante una spiegazione dettagliata dei test completati e un attestato di conformità (AOC, Attestation of Compliance) che documenta la conclusione generale del ROC con esito positivo.
Il modulo di autovalutazione PCI DSS (SAQ, Self-Assessment Questionnaire) è uno strumento di convalida destinato a commercianti e fornitori di servizi di piccole e medie dimensioni per valutare il proprio stato di conformità PCI DSS. Esistono diversi tipi di SAQ, ciascuno con una lunghezza diversa a seconda del tipo di entità e del modello di pagamento utilizzato. Ogni domanda SAQ ha una risposta a cui bisogna rispondere con un "sì" o un "no": qualsiasi risposta negativa richiede che l'entità autovalutante indichi la sua futura implementazione. Come per i ROC, bisogna compilare anche un AOC basato sul SAQ.
Il PCI SSC dispone di un programma per certificare aziende o individui, al fine di far eseguire le diverse attività di valutazione.
Un valutatore qualificato della sicurezza (QSA, Qualified Security Assessor) è un individuo certificato dal PCI SSC per convalidare la conformità PCI DSS di un altro ente. I QSA devono essere impiegati da una società QSA, la quale deve a sua volta essere certificata dal PCI SSC.[16][17]
Un valutatore della sicurezza interna (ISA, Internal Security Assessor) è un individuo che ha ottenuto un certificato dal PCI SSC per la propria organizzazione e può pertanto condurre autovalutazioni PCI per la propria organizzazione. Il programma ISA è stato progettato per aiutare i commercianti di livello 2 a soddisfare i requisiti di convalida della conformità Mastercard.[18] Gli ISA hanno il dovere di collaborare con i QSA.[15]
Sebbene lo standard PCI DSS debba essere implementato da tutte le entità che elaborano, archiviano o trasmettono i dati delle carte, la sua convalida formale non è obbligatoria per tutti. Visa e Mastercard richiedono che commercianti e fornitori di servizi abbiano la certificazione; Visa offre anche un Technology Innovation Program (TIP), ossia un programma alternativo che consente ai commercianti qualificati di interrompere la valutazione annuale di convalida PCI DSS. I commercianti sono idonei se adottano precauzioni alternative contro le frodi, come l'uso di EMV o della crittografia point-to-point.
Le banche emittenti non sono tenute a sottoporsi alla convalida PCI DSS, sebbene abbiano l'obbligo di proteggere i dati sensibili in conformità a esso. Le acquiring bank, invece, devono conformarsi allo standard PCI DSS e far convalidare la propria conformità mediante un audit. Qualora dovesse avvenire una violazione dei dati, qualsiasi entità compromessa che al momento della violazione non fosse conforme allo standard PCI DSS può essere soggetta a sanzioni aggiuntive (come multe) da parte dei circuiti delle carte o delle acquiring bank.