Livelli di conformità PCI DSS: cosa significano e come qualificarsi

Livelli di conformità PCI DSS a colpo d'occhio

Panoramica dei livelli merchant 1-4

Lo standard Payment Card Industry Data Security (PCI DSS) classifica le organizzazioni in quattro livelli di commerciante basati sul volume annuo delle transazioni con carta e sull'esposizione complessiva al rischio per determinare i requisiti di convalida appropriati. Comprendere il proprio livello di conformità è fondamentale per rispettare gli obblighi e mantenere adeguate misure di sicurezza per conservare la capacità di elaborare pagamenti con carta.

I commercianti di livello 1 elaborano il volume più alto di transazioni, tipicamente oltre 6 milioni di transazioni all'anno, e devono rispettare i requisiti di convalida più severi. I commercianti di livello 2 gestiscono volumi elevati di transazioni ma inferiori rispetto al livello 1, tipicamente tra 1 e 6 milioni di transazioni con carta all'anno, e sono convalidati tramite autovalutazione con supervisione aggiuntiva. I commercianti di livello 3 sono generalmente aziende di e-commerce di mercato medio che solitamente elaborano tra 20.000 e 1 milione di transazioni con carta e sono convalidati tramite autovalutazione. I commercianti di livello 4 sono piccole imprese con i volumi di transazioni più bassi, meno di 20.000 transazioni di e-commerce o fino a 1 milione di transazioni totali annuali, e sono convalidati con autovalutazione con gli obblighi di conformità più semplici.

È importante notare che le organizzazioni che elaborano o archiviano dati delle carte per conto di altre organizzazioni (fornitori di servizi) seguono un sistema separato a due livelli per i requisiti di convalida, distinto dalla convalida del commerciante e dipendente dal volume annuo delle transazioni con carta. I fornitori di servizi di livello 1 elaborano più di 300.000 transazioni all'anno o archiviano dati dei titolari di carta per terzi. I fornitori di servizi di livello 2 elaborano meno di 300.000 transazioni all'anno.

Perché il tuo livello conta

Il livello di conformità determina direttamente come la tua organizzazione deve convalidare la conformità e lo sforzo necessario per mantenerla. Il livello del commerciante definisce se un'organizzazione deve completare un Report on Compliance (ROC) tramite un Qualified Security Assessor o un Self-Assessment Questionnaire (SAQ), nonché la profondità e il tipo di prove di conformità che deve mantenere.

I livelli di merchant più elevati richiedono prove documentate più dettagliate e test regolari dei controlli di sicurezza. Ad esempio, i merchant di Livello 1 richiedono una formale Attestazione di Conformità (AOC) firmata da un Qualified Security Assessor (QSA). Sebbene la conformità sia un obbligo continuo, il livello del merchant influenza anche la frequenza delle valutazioni necessarie, come le scansioni trimestrali della rete da parte di un Approved Scanning Vendor. I circuiti delle carte e le banche acquirenti possono imporre requisiti aggiuntivi in base al livello di conformità. È fondamentale identificare correttamente e mantenere il proprio livello di conformità per soddisfare le aspettative normative, evitare sanzioni e dimostrare efficacemente la dovuta diligenza richiesta nella protezione dei dati dei titolari di carta.

Come i brand delle carte determinano il tuo livello di conformità PCI DSS

Soglie di volume delle transazioni

I circuiti delle carte utilizzano principalmente il volume annuo delle transazioni con carta per stabilire il livello di conformità di un'organizzazione. Queste soglie aiutano a determinare quale tipo di validazione e struttura di reporting un'organizzazione deve seguire per mantenere la conformità PCI DSS:

• Livello 1: Commercianti che elaborano oltre 6 milioni di transazioni all'anno su tutti i canali (in negozio e online)
• Livello 2: Commercianti che elaborano tra 1 e 6 milioni di transazioni all'anno
• Livello 3: Commercianti che elaborano tra 20.000 e 1 milione di transazioni di e-commerce all'anno
• Livello 4: Commercianti che elaborano meno di 20.000 transazioni e-commerce all'anno o fino a 1 milione di transazioni totali su tutti i canali

I commercianti di livello 1 necessitano generalmente di valutazioni annuali in loco da parte di un Qualified Security Assessor (QSA), mentre i livelli inferiori richiedono autovalutazioni tramite questionari (SAQ) e requisiti aggiuntivi come scansioni di rete trimestrali.

Escalatione di violazioni e incidenti

Il volume annuo delle transazioni è il fattore principale per stabilire il livello di conformità, ma non è l'unico. I marchi delle carte si riservano il diritto di elevare manualmente qualsiasi commerciante al Livello 1 se rilevano un alto rischio per l'ecosistema di pagamento. Se un commerciante ha subito una violazione dei dati o un incidente di sicurezza che ha compromesso i dati del titolare della carta, i marchi delle carte possono elevare il commerciante al Livello 1 indipendentemente dal volume delle transazioni. Inoltre, se il marchio della carta identifica vulnerabilità sistemiche come controlli di sicurezza inadeguati, mancanza di prove di conformità o un profilo ad alto rischio basato su modelli di transazione, tipo di industria o storia di frodi, può imporre i requisiti di convalida del Livello 1.

Ruolo della banca acquirente

Sebbene i brand delle carte stabiliscano standard di sicurezza globali, le banche acquirenti hanno l'autorità finale nell'assegnazione del livello PCI DSS. La banca acquirente è responsabile di garantire il corretto livello del commerciante di un'organizzazione e di esaminare i dati delle transazioni effettive e qualsiasi criterio specifico del brand della carta per confermare il livello di conformità. L'acquirente raccoglie ed esamina i documenti di convalida della conformità come l'Attestazione di Conformità, SAQ o i Rapporti di Conformità, e può imporre requisiti aggiuntivi oltre agli standard minimi del brand della carta. Diversi brand di carte come Visa, Mastercard, Discover e American Express hanno soglie leggermente diverse per i livelli di conformità PCI. I commercianti che elaborano transazioni con più brand devono seguire tutti i livelli di conformità dei brand delle carte, e la banca acquirente media e applica questi requisiti.

I quattro livelli di commerciante: requisiti e prove

Livello 1: massima garanzia

Chi può partecipare: Commercianti che elaborano oltre 6 milioni di transazioni con carta all'anno su tutti i canali combinati (carta presente, e-commerce, ordini per posta o telefono), inclusi tutti i tipi di transazioni come acquisti, rimborsi, accrediti e autorizzazioni. Inoltre, qualsiasi commerciante che abbia subito una violazione dei dati che ha comportato un compromesso dei dati o che sia stato designato come Livello 1 dai brand delle carte in base a valutazioni del rischio, precedenti violazioni di conformità o un modello di business che presenta un rischio sostanziale, indipendentemente dal volume delle transazioni.

Requisiti di convalida: La conformità PCI DSS Livello 1 rappresenta l'esposizione al rischio più elevata e richiede quindi la convalida più rigorosa:

Livello 2: alto volume senza QSA per impostazione predefinita

Chi può partecipare: I commercianti di livello 2, come i rivenditori di e-commerce da medi a grandi, le catene di vendita al dettaglio regionali e gli hotel e ristoranti con più sedi, rappresentano un rischio significativo ma sono autorizzati all'auto-validazione salvo diversa indicazione da parte della loro banca acquirente.

Requisiti di convalida:

Nota: Le banche acquirenti o i circuiti delle carte potrebbero richiedere una valutazione completa ROC e condotta da QSA per i commercianti di Livello 2 in base al profilo di rischio, alla storia di violazioni della sicurezza, all'infrastruttura complessa o a una scarsa conformità.

Livello 3: focus sull'e-commerce di mercato medio

Chi può partecipare: Commercianti che elaborano da 20.000 a 1 milione di transazioni e-commerce all'anno, in particolare quelli con una presenza online significativa in scenari Card-Not-Present (CNP).

Requisiti di convalida: I commercianti di livello 3 includono tipicamente aziende di e-commerce in crescita, società SaaS con integrazioni di pagamento, mercati digitali e aziende basate su abbonamento. Devono fornire le seguenti convalide:

Livello 4: baseline per piccoli commercianti

Chi può qualificarsi: I commercianti che elaborano meno di 20.000 transazioni di e-commerce o fino a 1 milione di transazioni totali per tutti i canali annualmente si qualificano per la conformità di Livello 4.

Requisiti di convalida: I commercianti di livello 4 includono tipicamente piccole imprese, negozi al dettaglio locali, hotel e ristoranti con una sola sede e piccoli rivenditori online. Devono completare le seguenti convalide:

Idea sbagliata comune: I commercianti di livello 4 sono obbligati a rispettare tutti i requisiti PCI DSS applicabili, come mantenere una rete sicura con firewall e tecnologie di crittografia, proteggere i dati dei titolari di carta, la gestione delle vulnerabilità, controlli di accesso, monitoraggio continuo e test della rete. Il livello influisce solo sul metodo di convalida, non sugli obblighi di sicurezza.

Livelli PCI DSS per i fornitori di servizi

Modello di fornitore di servizi a due livelli

I fornitori di servizi svolgono un ruolo significativo nell'ecosistema di elaborazione dei pagamenti perché memorizzano, elaborano o trasmettono i dati del titolare della carta per conto dei commercianti e possono influenzare la sicurezza dei dati del titolare della carta. Mentre i commercianti sono classificati in quattro livelli di conformità, i fornitori di servizi seguono un modello di classificazione a due livelli con requisiti di convalida rigorosi a causa del loro ruolo di responsabilità condivisa su più clienti.

Fornitori di servizi di livello 1: Qualsiasi organizzazione che elabora, memorizza o trasmette più di 300.000 transazioni con carta all'anno per conto dei commercianti, o qualsiasi organizzazione specificamente designata da un marchio di carte di pagamento indipendentemente dal volume delle transazioni. Devono sottoporsi a un audit in loco eseguito da un Qualified Security Assessor (QSA) per il ROC, presentare l'AOC, effettuare scansioni ASV trimestrali ed eseguire test di penetrazione annuali obbligatori. Questa categoria di fornitori di servizi include tipicamente gateway di pagamento, fornitori di servizi gestiti e fornitori di cloud e hosting.

Fornitori di servizi di livello 2: Qualsiasi organizzazione che elabora, memorizza o trasmette meno di 300.000 transazioni totali all'anno e non è designata come fornitore di servizi di livello 1 dalle società di carte. I fornitori di servizi di livello 2 devono soddisfare i requisiti di convalida attraverso l'annuale SAQ D per fornitori di servizi per affrontare tutti i requisiti PCI DSS, inviare l'AOC, fornire rapporti trimestrali di scansione ASV ed eseguire test di penetrazione annuali.

Chi convalida i fornitori di servizi

La conformità del fornitore di servizi può essere verificata attraverso diversi meccanismi, a seconda degli obblighi contrattuali e delle considerazioni sul rischio:

• Autovalidazione vs. QSA: I fornitori di livello 1 devono essere convalidati da un QSA esterno, mentre i fornitori di livello 2 possono autovalidarsi utilizzando SAQ D. Tuttavia, i loro clienti, commercianti o i circuiti delle carte potrebbero comunque richiedere un ROC firmato da un QSA a seconda della sensibilità del servizio fornito. In alcuni casi, i QSA dei commercianti esamineranno i controlli del fornitore di servizi durante le valutazioni PCI del commerciante stesso a causa della natura della responsabilità condivisa.
• Registri di conformità dei marchi di carte: Marchi di carte rinomati come Visa e Mastercard mantengono elenchi ufficiali di fornitori di servizi conformi. Ai commercianti è incoraggiato e spesso richiesto di utilizzare solo quei fornitori di servizi
• Responsabilità del commerciante: I commercianti devono mantenere un elenco dei loro fornitori di servizi, avere accordi scritti con essi e sono responsabili di verificare lo stato di conformità dei loro fornitori di servizi almeno una volta all'anno. Il mancato utilizzo di un fornitore di servizi conforme non trasferisce l'obbligo PCI; i commercianti rimangono responsabili della protezione dei dati dei titolari di carta

Scegliere il SAQ giusto per il tuo ambiente

Matrice di selezione SAQ

I Questionari di Autovalutazione sono strumenti di convalida definiti dal PCI Security Standards Council (PCI SSC) per aiutare i commercianti e i fornitori di servizi a valutare autonomamente la conformità al PCI DSS. Il SAQ corretto dipende da come i commercianti accettano, elaborano, trasmettono e memorizzano i dati del titolare della carta.

Consigli per evitare l'espansione incontrollata del progetto

Scegliere il tipo di SAQ sbagliato può aumentare l'onere della conformità, creare lacune di sicurezza e causare il rigetto degli audit.

Mappa i tuoi flussi di pagamento: Documenta ogni punto in cui i dati del titolare della carta entrano nella tua organizzazione, come vengono elaborati e archiviati, e dove escono dal tuo ambiente. Identifica tutti i sistemi e i servizi coinvolti nella cattura e nell'elaborazione dei dati, inclusi sistemi di backup, log o archivi.

Comprendere i punti di contatto dei dati del titolare della carta: Se una qualsiasi parte della tua infrastruttura entra in contatto con i dati del titolare della carta, potrebbe spostare il tipo di SAQ da un SAQ più leggero a SAQ D. Se un sistema memorizza, elabora o trasmette dati del titolare della carta, può influenzare la sicurezza di tali dati. Considera anche i sistemi che possono accedere all'ambiente dei dati del titolare della carta e i sistemi che si trovano nello stesso segmento di rete del CDE.

Usa la segmentazione: Una corretta segmentazione della rete e dei sistemi può ridurre l'ambito di PCI DSS, diminuendo lo sforzo necessario per la conformità. Usa firewall e VLAN per isolare i terminali di pagamento o i sistemi POS dal resto della rete aziendale. Documenta sempre le modifiche e verifica regolarmente l'efficacia per supportare la conformità continua.

Consulta un QSA: Se un commerciante offre sia servizi di negozio al dettaglio sia di e-commerce, potrebbe dover completare più SAQ o un singolo SAQ D. È sempre una buona idea coinvolgere un QSA che possa aiutare a prevenire sforzi di conformità eccessivi o insufficienti.

Dall'ambito alle prove: cosa si aspettano gli auditor per ogni livello

Definizione dell'ambito e documentazione

I revisori che valutano la conformità PCI DSS si concentrano prima sulla convalida dell'ambito e sulla documentazione di base perché tutte le prove rilevanti dipendono da una definizione esatta del Cardholder Data Environment (CDE).

Definizione accurata del CDE: Gli auditor richiedono un'identificazione chiara di tutti i sistemi, le reti e le sedi che memorizzano, elaborano o trasmettono dati dei titolari di carta. Devono essere documentati confini chiari del CDE. Quali sistemi sono inclusi nell'ambito, come terminali point-of-sale, gateway di pagamento e database, e quali sistemi sono esclusi devono avere prove di esclusione come la segmentazione della rete e le regole del firewall. La definizione del CDE deve essere rivista almeno annualmente e dopo ogni cambiamento significativo nel CDE o nell'infrastruttura associata.

Diagrammi di flusso dei dati: I DFD devono mostrare il movimento end-to-end dei dati del titolare della carta dai punti di ingresso al movimento interno, alla memorizzazione e ai punti di uscita. I DFD devono includere flussi di dati a livello alto e dettagliato con brevi descrizioni, indicando i percorsi crittografati e non crittografati e mappando i dispositivi reali con indirizzi IP e nomi host.

Documentazione sulla segmentazione della rete: Se alcuni server e dispositivi sono dichiarati fuori ambito, nella documentazione devono essere incluse prove tecniche che dimostrino che il CDE non è interessato. Ad esempio, configurazioni del firewall che limitano il traffico di rete tra reti CDE e non-CDE, configurazioni VLAN che separano logicamente le reti e risultati di test di penetrazione annuali.

Inventario del sistema: Deve essere documentato un inventario completo e aggiornato di tutti gli asset IT, come server, workstation, dispositivi di rete e terminali, con i sistemi operativi installati, le applicazioni, le versioni e i livelli di patch, per tutto ciò che potrebbe influire sul CDE. Devono essere implementati meccanismi di gestione delle modifiche per mostrare i log come prova degli aggiornamenti di sistema, delle patch e della dismissione dell'hardware.

Sincronizzazione dell'ora: Tutti i sistemi devono avere un'ora precisa e sincronizzata utilizzando Network Time Protocol (NTP), poiché la sincronizzazione dell'ora è fondamentale per la correlazione dei log e l'analisi forense. La documentazione dovrebbe contenere la configurazione del server NTP, la fonte dell'ora e le impostazioni della frequenza di sincronizzazione con i log di supporto che mostrano la sincronizzazione dell'ora avvenuta con successo.

Artefatti chiave per livello

I diversi livelli di reportistica richiedono tipi e profondità di prove differenti, ma gli artefatti principali rimangono costanti; variano solo i metodi di convalida in base al livello del commerciante. Di seguito sono riportati gli artefatti comuni che gli auditor si aspettano a tutti i livelli:

• Politiche di sicurezza delle informazioni: Politiche di sicurezza documentate complete che coprono tutti i requisiti PCI DSS applicabili, inclusi la politica di utilizzo accettabile, la politica di conservazione dei dati, i meccanismi di gestione delle chiavi di crittografia, la politica di accesso remoto, la politica di gestione delle modifiche, la sicurezza fisica e le procedure di risposta agli incidenti
• Documentazione sul controllo degli accessi: Politiche di accesso utente e report che mostrano chi ha accesso a quali sistemi e dati, implementazione del controllo degli accessi basato sui ruoli (RBAC) e verifica che ruoli e permessi seguano il principio del minimo privilegio. Autenticazione a più fattori (MFA) applicata su tutti i percorsi di accesso nel CDE, and reports showing who has access to what systems and data, role-based access control (RBAC) implementation, and whether roles and permissions follow the principle of least privilege. Multi-factor authentication (MFA) enforced on all access paths in the CDE, Privileged Access Management con meccanismi di registrazione delle sessioni e tracciamento completo degli accessi amministrativi al CDE
• Log di monitoraggio dell'integrità dei file (FIM): Prova che i file di sistema critici e le configurazioni sono monitorati per modifiche non autorizzate, inclusi avvisi e report FIM, definizioni della configurazione di base e registrazioni delle indagini per modifiche legittime
• Revisioni degli accessi utente: Revisioni periodiche degli account utente e degli account amministrativi, inclusi rapporti approvati dai responsabili di reparto, prove di correzione per privilegi eccessivi e rimozione degli accessi utente terminati
• Risultati della scansione delle vulnerabilità: Rapporti trimestrali degli strumenti di scansione interni e dei fornitori di scansione approvati esterni (Approved Scanning Vendors, ASV) che mostrano che non sono state trovate vulnerabilità ad alto rischio, oppure che le vulnerabilità sono state corrette e le nuove scansioni mostrano che le vulnerabilità sono state risolte
• Rapporti di test di penetrazione: Rapporti formali dei risultati dei test di penetrazione interni o esterni, inclusi test a livello di rete, test a livello di applicazione e convalida della segmentazione. I risultati devono identificare chiaramente le vulnerabilità con valutazioni di gravità e convalide delle correzioni dopo i retest.
• Procedure di risposta agli incidenti: Un piano documentato per la gestione degli incidenti di sicurezza, inclusi come classificare gli incidenti, i percorsi di escalation, i ruoli e le responsabilità del team di risposta, i protocolli di comunicazione, le procedure di raccolta delle prove forensi e le misure di continuità aziendale
• Registri di gestione delle modifiche: Traccia completa delle modifiche apportate a sistemi e applicazioni, inclusi moduli di richiesta di modifica, moduli di valutazione del rischio, registri di approvazione, convalida post-implementazione e giustificazioni per l'esecuzione di procedure di emergenza

Le capacità di audit e conformità di Netwrix aiutano le organizzazioni a generare prove per tutti i requisiti PCI DSS, dalla definizione accurata dell'ambito e scoperta dei dati al controllo degli accessi e all'autenticazione multifattoriale, Privileged Access Management, e un'ampia registrazione e monitoraggio continuo. Le capacità automatizzate di scoperta dei dati trovano e classificano i Numeri di Conto Primari (PAN) e altri dati sensibili dei titolari di carta. La minimizzazione dei dati aiuta a identificare dati dei titolari di carta obsoleti o conservati eccessivamente per supportare i processi di cancellazione sicura. Le campagne regolari di revisione degli accessi utente automatizzano l'attestazione degli accessi per limitare l'accesso al CDE applicando il principio del minimo privilegio. Le soluzioni Netwrix catturano tracciati di audit completi delle attività degli utenti, delle modifiche di sistema e degli eventi di accesso con la possibilità di esportare questi log e report di conformità per soddisfare i requisiti PCI DSS.

Come cambiano i livelli: trigger per salire o scendere

Trigger per i cambiamenti di livello

I livelli di conformità PCI DSS non sono statici; possono aumentare o diminuire in base alle attività aziendali, agli eventi di rischio o alle decisioni prese dai brand delle carte o dalla banca acquirente. I livelli di conformità di commercianti e fornitori di servizi sono principalmente determinati dal volume delle transazioni annue. Se una campagna di marketing durante il periodo natalizio aumenta drasticamente il volume delle transazioni superando la soglia di 6 milioni di transazioni, la banca acquirente notificherà al commerciante che ora deve rispettare i requisiti di conformità PCI DSS Livello 1.

Analogamente, se il volume delle transazioni di un commerciante diminuisce significativamente, potrebbe avere diritto a una riduzione del livello di conformità, riducendo la complessità e il costo dell'audit. Fusioni e acquisizioni possono combinare i volumi di transazioni di più commercianti, e nuovi canali di pagamento o marchi ereditati tramite acquisizione possono influenzare il conteggio totale delle transazioni.

Qualsiasi incidente di sicurezza o violazione dei dati può innescare azioni di conformità rigorose da parte dei circuiti di carte o della banca acquirente, aumentando il livello e richiedendo eventualmente un'indagine forense con interventi correttivi prima che il livello di conformità possa tornare alla normalità. Se un commerciante inizia a utilizzare un nuovo fornitore di servizi terzo o cambia l'elaborazione dei pagamenti esternalizzata, ciò può influire sul livello di conformità. Ad esempio, passare da una pagina di pagamento esternalizzata a un modello parzialmente ospitato può aumentare gli obblighi di conformità, mentre passare da un servizio di gestione dei pagamenti interno a un'elaborazione dei pagamenti esternalizzata può semplificare gli obblighi di conformità. I circuiti di carte si riservano il diritto di riclassificare qualsiasi commerciante o fornitore di servizi in base a tassi elevati di frode, non conformità ripetuta o un modello di business ad alto rischio.

Best practice di governance

La conformità non è un evento unico; è un processo continuo. Per evitare guasti improvvisi, le organizzazioni devono integrare i controlli e le politiche richiesti dal livello di conformità PCI nel loro modello di governance aziendale.

Evita sorprese: Monitorando il volume delle transazioni ogni trimestre o mensilmente, i commercianti possono prevedere quando potrebbero raggiungere il livello successivo prima che accada. Conserva le prove delle transazioni per la riclassificazione, come diagrammi di flusso dei dati delle nuove aggiunte di canali, registri degli incidenti e registrazioni delle azioni correttive in caso di evento di violazione della sicurezza.

Pianificazione della convalida: Passare dal Livello 2 al Livello 1 richiede l'assunzione di un Qualified Security Assessor (QSA) e comporta costi tecnici per la messa in sicurezza del CDE. Questi cambiamenti richiedono una pianificazione significativa ed efficiente per garantire un budget adeguato e che le risorse, come il personale e le attrezzature, siano distribuite correttamente.

Comunicazione proattiva: Mantieni un rapporto trasparente con la tua banca acquirente, che aiuta a negoziare i tempi di implementazione dei controlli di sicurezza se si verifica inaspettatamente una modifica del livello di conformità. Notifica sempre l'acquirente prima di lanciare nuove piattaforme di e-commerce, modifiche alla tokenizzazione o sostituzioni del gateway di pagamento.

Errori comuni per livello e come evitarli

Insidie di livello 1

Gestione degli accessi privilegiati debole: Gli ambienti di livello 1 per i titolari di carta e l'infrastruttura associata richiedono un controllo rigoroso degli accessi per ridurre la superficie di attacco. Una gestione degli accessi completa è un fattore chiave nella sicurezza dei dati dei titolari di carta. I problemi comuni includono l'uso di account amministrativi condivisi, l'assenza di MFA implementata per account amministrativi o di servizio e accesso remoto, privilegi permanenti eccessivi, mancanza di campagne di revisione degli accessi utente, controllo degli accessi basato sui ruoli (RBAC) che non segue il principio del minimo privilegio e mancanza di monitoraggio delle attività amministrative.

Registrazione incompleta: I log svolgono un ruolo fondamentale nelle indagini forensi sugli eventi di violazione dei dati e nella convalida dell'efficacia dei controlli di sicurezza. I problemi comuni includono la mancanza di tracce di autenticazione come eventi importanti di fallimento dell'autenticazione, escalation dei privilegi o accesso ai dati. I log vengono raccolti ma non aggregati in una piattaforma centralizzata per l'analisi e l'archiviazione automatizzate. I log sono presenti ma non possono distinguere le tracce degli eventi basate su ID unici legati a particolari account.

Efficacia della segmentazione: I problemi comuni includono reti etichettate come fuori ambito senza prove che non possano accedere al CDE, assenza di rapporti annuali di penetration test e regole firewall errate che possono consentire l'accesso alla rete.

Prove di gestione delle modifiche: I problemi comuni includono registrazioni di modifiche di emergenza implementate senza la dovuta approvazione, impatto PCI non valutato dopo l'implementazione, aggiornamenti o sostituzioni di hardware e software senza backup adeguato e nessun rapporto di valutazione della postura di sicurezza dopo eventi legittimi di gestione delle modifiche.

Insidie di livello 2-4

Selezione errata del SAQ: I commercianti spesso scelgono il Self-Assessment Questionnaire (SAQ) più semplice o più breve senza rendersi conto che il loro ambiente richiede in realtà valutazioni tecniche più dettagliate e pertinenti. Scegliere un tipo di SAQ errato porta a una valutazione della conformità incompleta, specialmente quando i flussi di pagamento sono fraintesi e rappresentati in modo errato nella documentazione. Mappare sempre i flussi completi dei dati delle carte di pagamento prima della selezione del SAQ, documentare dove i PAN vengono trasmessi, elaborati e archiviati, e verificare i metodi di integrazione dei processori terzi. In caso di dubbio, consultare sempre la guida alla selezione del SAQ o assumere un QSA per aiutare nel processo di selezione del SAQ.

Scansioni ASV trimestrali mancate: Le scansioni delle vulnerabilità devono essere eseguite da un Approved Scanning Vendor (ASV) ogni 90 giorni. I commercianti presumono che sia un compito annuale o non correggono le vulnerabilità identificate nella scansione entro il limite di tempo richiesto per mantenere lo stato di conformità. Pianificate sempre le scansioni per il primo mese di ogni trimestre per consentire tempo sufficiente a correggere eventuali vulnerabilità identificate e rieseguire la scansione dopo gli interventi di correzione per ottenere il rapporto di superamento prima della fine dello stesso trimestre. Impostate promemoria sul calendario da 2 a 3 settimane prima della scadenza, monitorate le scadenze per la correzione (30 giorni per le vulnerabilità ad alto rischio), mantenete prove documentate dei risultati della scansione e delle correzioni, e utilizzate solo fornitori di scansione approvati da PCI SSC per le scansioni trimestrali.

PAN nei log e nelle esportazioni: Le informazioni del Primary Account Number (PAN) possono fuoriuscire in luoghi in cui non dovrebbero essere archiviate, come i log delle applicazioni, le trascrizioni delle chat del servizio clienti, le registrazioni audio delle chiamate, le esportazioni CRM o le esportazioni CSV utilizzate dal reparto contabilità. Utilizzare strumenti automatizzati di data discovery tools per scansionare l'infrastruttura alla ricerca di PAN non crittografati almeno una volta all'anno. Assicurarsi che le soluzioni software mascherino i numeri delle carte, mostrando solo le prime o le ultime 4 cifre. Rivedere le funzioni di esportazione e gli strumenti di reporting per troncare il PAN, formare gli sviluppatori sulle pratiche di codifica sicura per evitare l'archiviazione di informazioni sensibili nei log di debug e rivedere regolarmente i log per identificare eventuali informazioni sensibili non crittografate.

Dove Netwrix accelera PCI DSS a tutti i livelli

Requisito 3: proteggere i dati memorizzati del titolare della carta

Netwrix Data Security Posture Management soluzioni aiutano le organizzazioni a eseguire la scoperta e la classificazione automatizzata dei dati in ambienti ibridi per trovare i Primary Account Numbers (PAN) e altri dati sensibili dei titolari di carta. La classificazione dei dati viene effettuata utilizzando l'elaborazione di termini composti e l'analisi statistica anziché il semplice confronto di parole chiave. Le capacità di redazione automatizzata mascherano le cifre della carta quando non è necessario mostrarle per motivi aziendali. La minimizzazione dei dati e il monitoraggio della conservazione dimostrano che vengono archiviati solo i dati necessari dei titolari di carta e che i dati non necessari non vengono conservati. I flussi di lavoro automatizzati consentono alle organizzazioni di mettere in quarantena i dati sensibili in posizioni non sicure e aiutano a rimuovere le autorizzazioni dai gruppi di accesso globali.

Requisiti 7 e 8: controllo degli accessi e autenticazione

Netwrix Identity Governance soluzioni offrono visibilità sulle autorizzazioni di utenti, account di servizio e account amministrativi su piattaforme locali e cloud. I report di attestazione dei privilegi certificano i privilegi degli utenti per applicare il principio del minimo privilegio e garantire che l'accesso all'ambiente cardholder sia strettamente basato sui ruoli e documentato. Le soluzioni di Identity Governance automatizzano il ciclo di vita delle identità degli utenti per garantire che ogni persona abbia un ID univoco, tutte le attività siano tracciate con quell'ID univoco e l'accesso possa essere revocato istantaneamente in caso di attività sospette o cessazione.Le capacità di monitoraggio degli account privilegiati consentono alle organizzazioni di monitorare e registrare le sessioni privilegiate nel CDE per rilevare eventuali modifiche non autorizzate o tentativi di esfiltrazione dei dati.

Requisito 10: registrazione e monitoraggio

Netwrix Auditor fornisce capacità unificate di auditing e monitoraggio delle attività su infrastrutture ibride, inclusi file system, Active Directory e servizi cloud. Le soluzioni di change tracking integrano funzionalità di file integrity monitoring (FIM) per rilevare modifiche non autorizzate ai file di sistema critici e alle configurazioni di sicurezza, generando avvisi quando i dati di log vengono modificati. Le soluzioni Netwrix offrono log e report esportabili, pronti per l'audit, che fungono da prove nelle attestazioni di conformità e nelle relazioni di conformità, riducendo significativamente i tempi di preparazione per l'audit.

Requisiti 6 e 11: sistemi sicuri e test

Netwrix Change Tracker monitora continuamente la configurazione del sistema, rileva le configurazioni errate che deviano dalle baseline di sicurezza e garantisce che server, endpoint e dispositivi di rete rimangano sempre sicuri. Il monitoraggio delle modifiche con valori di configurazione prima e dopo mostra cosa è cambiato, quando e da chi, fornendo un rapporto completo basato su prove sul CDE. Questi rapporti basati su prove supportano la manutenzione sicura del sistema, la verifica della configurazione coerente e i test continui per soddisfare i requisiti di scansione e test PCI.

Approfondimento PCI DSS Livello 1 (per aziende e fornitori di servizi)

Maggiore rigore per il Livello 1

I commercianti e i fornitori di servizi di Livello 1 sono soggetti a un livello più elevato di controllo perché rappresentano il rischio più alto per l'ecosistema dei pagamenti. Al Livello 1, le organizzazioni devono andare oltre i 12 requisiti fondamentali della conformità PCI; devono implementare controlli potenziati, disciplina documentata e monitoraggio continuo per soddisfare correttamente i requisiti di convalida.

Considerazioni sulla strategia di campionamento: Quando un'azienda dispone di centinaia o migliaia di componenti infrastrutturali, un QSA non può valutare ciascuno di essi singolarmente. PCI DSS non impone una formula di campionamento specifica, ma gli audit di Livello 1 richiedono intrinsecamente un campionamento rappresentativo dei sistemi più critici, come il CDE, i controlli di segmentazione, il controllo degli accessi e il logging. Standardizzare il campionamento raggruppando i sistemi con configurazione identica. Il campionamento deve includere ogni processo aziendale e località geografica che gestisce dati dei titolari di carta. Mantenere la documentazione del metodo di campionamento, inclusa la definizione della popolazione, i criteri di selezione, la giustificazione statistica e la tracciabilità del campione rispetto ai requisiti PCI specifici con evidenze per dimostrare la completezza al QSA. Se il campionamento rivela un fallimento, ampliare i test o valutare l'intera classe di sistemi. Le entità di Livello 1 dovrebbero evitare di presumere che un singolo sistema rappresentativo copra l'intera classe.

Ambito ampliato del penetration testing: Le entità di livello 1 devono includere reti interne, reti perimetrali, VPN, infrastruttura cloud, API e endpoint annualmente e in caso di qualsiasi cambiamento significativo nella rete, come l'aggiunta di nuovo hardware, aggiornamenti software o migrazione a una nuova piattaforma cloud. Al minimo, è richiesto nuovamente un penetration testing mirato. Le organizzazioni devono dimostrare la segmentazione della rete con prove come regole del firewall e isolamento VLAN. I processi di autenticazione e autorizzazione devono essere valutati sia dal punto di vista dell'utente interno che dell'attaccante esterno. Dopo la remediation, è necessario un nuovo test mirato per confermare che le vulnerabilità siano state risolte.

Best practice per il repository delle evidenze: Un audit di Livello 1 può richiedere migliaia di evidenze. Le organizzazioni devono abbandonare i fogli di calcolo per adottare un vero strumento di Governance, Risk and Compliance (GRC) per automatizzare l'intero processo con un repository dati centralizzato. Utilizzare strumenti automatizzati per generare artefatti di base per ogni requisito, come policy, file di configurazione, log e procedure. Organizzare le evidenze secondo i 12 requisiti PCI DSS e i sotto-requisiti. Mantenere versioni datate di tutte le configurazioni e policy, dettagli sui permessi di accesso basati sui ruoli, report trimestrali di scansione, analisi dei log, avvisi di monitoraggio dell'integrità dei file, regole del firewall e implementazioni di crittografia.

Conformità continua: A differenza della conformità puntuale tradizionale, PCI DSS enfatizza la sicurezza continua. Per le organizzazioni di Livello 1, il monitoraggio continuo deve essere integrato in ogni processo aziendale. Oltre alla scansione trimestrale delle vulnerabilità esterne ASV e alle scansioni interne delle vulnerabilità, i log devono essere revisionati quotidianamente o almeno due volte a settimana con l’implementazione di strumenti SIEM per l’analisi aggregata. Devono essere implementati meccanismi di generazione di allarmi in tempo reale per il monitoraggio dell’integrità dei file. Deve essere in atto un processo formale di gestione delle modifiche con approvazione documentata per ogni modifica nel CDE. Mensilmente devono essere avviate campagne di revisione degli accessi utente, devono essere revisionate le regole di firewall e router e deve essere validata la conformità dei fornitori di servizi.

Mantenere la documentazione organizzata: Le organizzazioni non devono aspettare la stagione delle verifiche; devono creare e aggiornare periodicamente la documentazione per tutti i 12 requisiti PCI DSS durante l'anno, con un adeguato controllo delle versioni e registri riepilogativi delle modifiche. Il primo compito di un QSA è spesso la scoperta dell'ambito. Se trovano un sistema o un requisito non documentato, la verifica sarà molto probabilmente ritardata o fallirà.

Lavorare con QSAs

Le convalide di livello 1 richiedono un Qualified Security Assessor (QSA) esterno. Tuttavia, il QSA non dovrebbe essere considerato un revisore, ma piuttosto un partner nella riduzione del rischio. Un coinvolgimento di successo richiede preparazione anticipata e collaborazione efficiente per massimizzare i risultati di questo processo.

Prepara le prove in anticipo: Le organizzazioni devono condurre valutazioni interne utilizzando il modello ROC per identificare le lacune. Crea una checklist che mappi ogni requisito alle prove corrispondenti. Prepara un inventario completo e aggiornato degli asset con diagrammi di flusso dei dati, e la documentazione di ambito deve includere una segmentazione dettagliata della rete per giustificare l'ambito.

Stabilire canali di comunicazione chiari: Nomina un unico punto di contatto per il coordinamento QSA. Identifica specialisti per ogni ambito di requisiti per i dettagli. Configura i canali di comunicazione preferiti come email, videoconferenze e portali di documentazione. Esegui sessioni di walkthrough pre-audit, definisci percorsi di escalation per controversie o ritardi nelle richieste di evidenze e stabilisci i tempi di risposta per le richieste di evidenze, come 48 o 72 ore.

Affrontare tempestivamente le problematiche riscontrate: Se un QSA rileva una lacuna durante l’audit, cerca di risolverla immediatamente mentre è in sede. Questo spesso può portare a un esito positivo nel ROC finale anziché a uno stato di non conformità. Il processo di risoluzione dovrebbe essere formale, includendo la conferma di ricezione che le problematiche siano state comprese, l’analisi della causa principale del motivo per cui si è verificata la non conformità e le azioni documentate intraprese per risolvere il problema con prove come screenshot, dettagli di configurazione e nuove politiche.

Passi successivi: convalida il tuo livello di conformità PCI DSS

Piano d'azione

Comprendere il livello del tuo commerciante o servizio è fondamentale per la conformità PCI DSS. Una volta valutato correttamente il livello, il percorso di conformità consiste in convalida, prove e monitoraggio continuo.

Pronto per semplificare la conformità PCI DSS a qualsiasi livello? Visita la Netwrix PCI DSS solution page per vedere esempi di report mappati e scoprire come le nostre capacità di sicurezza dei dati e di audit accelerano la tua convalida.