Standard PCI DSS

12 requisiti per la sicurezza dei dati delle carte bancarie

Cos'è lo standard PCI DSS?

PCI DSS è un quadro di riferimento delle norme di sicurezza che dovrebbero essere adottate dai sistemi di pagamento che gestiscono i dati delle carte bancarie per garantire la confidenzialità di queste informazioni. Il documento è stilato e aggiornato dal PCI Council, un gruppo professionale fondato dai cinque brand VISA, Mastercard, American Express, JCB e Discovery.

Attori del sistema informativo bancario

  • Portatore di carta: titolare della carta e del conto associato (cliente finale)
  • Emittente: banca del titolare della carta
  • Esercente: commerciante che accetta la carta come metodo di pagamento
  • Acquirente: istituto bancario dell'esercente che autorizza le transazioni
  • Marchio della carta: terza parte di fiducia che assicura la relazione tra gli attori di una transazione (VISA, Mastercard, American Express, ecc...)
  • Payment Service Provider (PSP): tutti gli altri intermediari della catena. In quanto fornitore di IaaS, OVH è un PSP

Le banche che emettono carte di pagamento per i propri clienti o che gestiscono le transazioni dei commercianti sono libere di definire contrattualmente le policy di sicurezza che i propri clienti e partner devono rispettare. Lo standard PCI DSS comprende una serie di requisiti base applicabili alla maggior parte delle situazioni. Costituisce ormai il riferimento dei sistemi di pagamento e la conformità delle infrastrutture è un'esigenza per gli attori del settore. Ogni entità coinvolta nella catena detiene un certo grado di responsabilità, che permette di garantire la sicurezza della piattaforma. Questi obblighi vengono trasferiti contrattualmente dai brand delle carte a tutti gli altri soggetti interessati.

Lo standard PCI DSS contiene oltre 250 punti di controllo e dispositivi di sicurezza da applicare per una gestione totalmente sicura dei numeri delle carte bancarie. Questi punti di controllo sono classificati in 6 gruppi:

  • Sviluppo e gestione di sistemi e reti sicure

    Requisito 1: installare e gestire una configurazione firewall per proteggere i dati dei titolari di carta
    Requisito 2: non utilizzare valori predefiniti dal fornitore per le password di sistema e altri parametri di protezione
  • Protezione dei dati dei titolari di carta

    Requisito 3: proteggere i dati dei titolari di carta memorizzati
    Requisito 4: cifrare i dati dei titolari di carta trasmessi su reti aperte e pubbliche
  • Utilizzare un programma per la gestione delle vulnerabilità

    Requisito 5: proteggere tutti i sistemi dai malware e aggiornare regolarmente i programmi o il software antivirus
    Requisito 6: sviluppare e gestire sistemi e applicazioni protette
  • Implementazione di rigide misure di controllo dell'accesso

    Requisito 7: limitare l’accesso ai dati dei titolari di carta solo se effettivamente necessario
    Requisito 8: individuare e autenticare l'accesso ai componenti di sistema
    Requisito 9: limitare l’accesso fisico ai dati dei titolari di carta
  • Monitoraggio e test regolari delle reti

    Requisito 10: registrare e monitorare tutti gli accessi a risorse di rete e dati dei titolari di carta
    Requisito 11: eseguire regolarmente test dei sistemi e processi di protezione
  • Gestione di una politica di sicurezza delle informazioni

    Requisito 12: gestire una politica che garantisca la sicurezza delle informazioni per tutto il personale

Come ottenere la conformità PCI DSS

La conformità al PCI DSS si applica all'intera piattaforma di pagamento e deve essere rispettata anche dal commerciante tramite la scelta di provider certificati. Questo implica che ogni soggetto coinvolto possieda i requisiti di sicurezza richiesti per la sua attività e dimostri la propria conformità ai suoi clienti.

Nell'ambito del servizio Payment Infrastructure PCI DSS, OVH è responsabile della sicurezza dell'infrastruttura mentre il cliente della sicurezza delle macchine virtuali ospitate, dell'utilizzo delle funzionalità delle reti virtuali e degli applicativi implementati sulle proprie VM. L'applicazione del PCI DSS rappresenta quindi uno sforzo congiunto per combinare le misure di sicurezza della propria piattaforma applicativa e del sistema con quelle dell'infrastruttura Private Cloud.

La certificazione PCI DSS si ottiene tramite un'Attestazione di Conformità (AoC) rilasciata al completamento di un questionario di autovalutazione o di un audit effettuato da una o più società QSA (Qualified Security Assessor).

La conformità delle piattaforme è un intervento strutturato, con caratteristiche e obblighi che dipendono da numerosi fattori:

  • Numero di transazioni effettuate annualmente
  • Tipi di carte di pagamento accettate
  • Banche acquisitrici
  • Complessità dell’infrastruttura di pagamento

Essere PCI DSS compliant implica un dialogo con i soggetti coinvolti per conoscere in modo preciso le loro aspettative. OVH consiglia di contattare la propria banca acquisitrice o affidarsi a una società QSA per avere supporto durante il processo.

Livelli e requisiti di convalida VISA

Livello Informazioni utili Obblighi
1 > 6 M di transazioni/anno Audit effettuato da un funzionario qualificato (QSA)
Valutazione trimestrale effettuata da un fornitore di scansioni approvato (ASV)
Certificazione di conformità
2 1 M < x < 6 M di transazioni/anno Questionario di autovalutazione
Valutazione trimestrale effettuata da un fornitore di scansioni approvato (ASV)
Certificazione di conformità
3/4 x < 1 M di transazioni/anno Definito e controllato da ogni istituto bancario

Fonte: https://www.visaeurope.com/receiving-payments/security/merchants
Questi dati hanno carattere informativo. Solo la banca acquisitrice può fornirti le informazioni relative al tuo caso specifico.

La piattaforma OVH viene sottoposta annualmente all'audit da parte di una società QSA e mette a tua disposizone i documenti ottenuti, che permettono di:

  • Comprendere i requisiti inclusi nella certificazione
  • Definire i requisiti da rispettare per ottenere la certificazione
  • Dimostrare al tuo QSA che OVH rispetta gli standard applicabili ed è conforme al PCI DSS

Inoltre, OVH mette a disposizione il suo team di esperti per accompagnarti nell'ottenimento dei documenti necessari al raggiungimento della conformità:

  • Matrice di condivisione delle responsabilità PCI DSS
  • Condizioni particolari che precisano le responsabilità di OVH
  • Modello delle specifiche tecniche per la realizzazione dei test di intrusione obbligatori

Matrice di responsabilità

Questa matrice descrive le responsabilità di OVH e del cliente relativamente ai requisiti dello standard PCI DSS, per guidarti verso l'ottenimento della conformità. L'analisi dettagliata dell'Attestazione di Conformità, disponibile su richiesta al momento della sottoscrizione del servizio, ti fornirà tutte le informazioni necessarie per avviare il processo.

Sviluppo e gestione di sistemi e reti sicure
Requisito 1: installare e gestire una configurazione firewall per proteggere i dati dei titolari di carta OVH per la rete fisica
Il Cliente per le funzionalità di rete virtuali all'interno del DC virtuale
Requisito 2: non utilizzare valori predefiniti del fornitore OVH per le password di sistema e altri parametri di protezione per i componenti infrastrutturali Il Cliente per le macchine virtuali e le applicazioni
Protezione dei dati dei titolari di carta
Requisito 3: proteggere i dati dei titolari di carta memorizzati Responsabilità esclusiva del cliente relativamente all'implementazione effettuata
Requisito 4: cifrare i dati dei titolari di carta trasmessi su reti aperte e pubbliche Responsabilità esclusiva del cliente relativamente all'implementazione effettuata
Utilizzare un programma per la gestione delle vulnerabilità
Requisito 5: proteggere tutti i sistemi dai malware e aggiornare regolarmente i programmi o il software antivirus OVH per i componenti infrastrutturali
Il Cliente per le macchine virtuali e le applicazioni
Requisito 6: sviluppare e gestire sistemi e applicazioni protette OVH per i componenti infrastrutturali
Il Cliente per le macchine virtuali e le applicazioni
Implementazione di rigide misure di controllo dell'accesso
Requisito 7: limitare l’accesso ai dati dei titolari di carta solo se effettivamente necessario OVH per i componenti infrastrutturali
Il Cliente per le macchine virtuali e le applicazioni
Requisito 8: individuare e autenticare l'accesso ai componenti di sistema OVH per i componenti infrastrutturali
Il Cliente per le macchine virtuali e le applicazioni
Requisito 9: limitare l’accesso fisico ai dati dei titolari di carta Responsabilità esclusiva di OVH per l'hosting fisico della piattaforma
Monitoraggio e test regolari delle reti
Requisito 10: registrare e monitorare tutti gli accessi a risorse di rete e dati dei titolari di carta OVH per i componenti infrastrutturali
Il Cliente per le macchine virtuali e le applicazioni
Requisito 11: eseguire regolarmente test dei sistemi e processi di protezione OVH per i componenti infrastrutturali
Il Cliente per le macchine virtuali e le applicazioni
Gestione di una politica di sicurezza delle informazioni
Requisito 12: gestire una politica che garantisca la sicurezza delle informazioni per tutto il personale OVH per i componenti infrastrutturali
Il Cliente per le macchine virtuali e le applicazioni

Scheda tecnica di OVH Payment infrastructure

  • Payment Service Provider (PSP) Level 1
  • PCI DSS V3.2
  • QSA Provadys
  • Opzione PCI DSS disponibile con OVH Payment Infrastructure. Possibilità di upgrade da qualsiasi infrastruttura SDDC
  • Perimetro: ambiti di responsabilità di OVH (vedi matrice di condivisione delle responsabilità)

Modelli schematici

Gli esempi di catena per ospitare i sistemi di pagamento mostrati qui sotto descrivono il funzionamento delle relazioni contrattuali e dei report di conformità. Ovviamente ogni caso è a sé stante e richiede un'analisi approfondita, ma la maggior parte delle situazioni si avvicinano a questi due modelli.

Sei un commerciante e la tua piattaforma è ospitata su un'infrastruttura OVH PCI DSS:

Sei un PSP e ospiti sistemi su un'infrastruttura OVH PCI DSS. I tuoi clienti sono commercianti.