Il Payment Card Industry Data Security Standard (PCI DSS) è un insieme di requisiti di sicurezza per proteggere i dati dei titolari di carta (PAN, numeri di conto primari), nomi, date di scadenza, codici di servizio e altre informazioni sensibili dei titolari di carta durante tutto il loro ciclo di vita.
Lo standard PCI DSS si applica a qualsiasi commerciante, fornitore di servizi o altra organizzazione che archivia, elabora o trasmette i dati dei titolari di carte e a qualsiasi organizzazione collegata a sistemi che memorizzano, elaborano o trasmettono i dati dei titolari di carte. (Questi sistemi sono denominati ambienti dati dei titolari di carte, o CDE.) Il PCI DSS delinea controlli di sicurezza dettagliati, processi e test che le organizzazioni dovrebbero implementare per proteggere i dati dei titolari di carte. Queste misure di sicurezza coprono un'ampia gamma di aree funzionali nell'ambiente dati dei titolari di carte, tra cui transazioni di e-commerce, sistemi POS, hotspot wireless, dispositivi mobili, cloud computing e sistemi di archiviazione cartacei.
La conformità al PCI DSS richiede rapporti annuali da parte di commercianti e fornitori di servizi e rapporti aggiuntivi a seguito di modifiche significative al CDE. La convalida della conformità comporta anche una valutazione continua del livello di sicurezza di un'organizzazione e una correzione costante per colmare eventuali lacune nelle politiche, nella tecnologia o nelle procedure di sicurezza.
Le organizzazioni e i service provider possono essere valutati da un Qualified Security Assessor (QSA), che emette un Attestation of Compliance (AOC) al completamento di una valutazione positiva.
La prima versione del PCI DSS è stata rilasciata nel 2004 dai marchi di carte di pagamento American Express, Discover, JCB International, MasterCard e Visa, che insieme hanno formato il Payment Card Industry Security Standards Council (PCI SSC) per gestire i requisiti tecnici dello standard. Nel 2020, il PCI SSC ha aggiunto l’associazione delle carte bancarie UnionPay. Lo standard PCI DSS viene periodicamente aggiornato per far fronte alle più recenti minacce alla cybersecurity dei dati delle carte di pagamento, come furto di identità, frodi e violazioni dei dati.
Vai dietro le quinte per scoprire come funziona la conformità PCI DSS su IBM Cloud.
IBM è un service provider di livello 1 per PCI DSS e i clienti possono creare ambienti e applicazioni conformi a PCI-DSS con IBM Cloud.
Molti servizi della piattaforma IBM Cloud dispongono di un certificato di conformità (AOC) PCI DSS rilasciato da un Qualified Security Assessor (QSA).
Contatta IBM per richiedere un AOC PCI DSS per qualsiasi servizio elencato di seguito
La versione più recente di PCI DSS (v4.0) è stata rilasciata nel marzo 2022. Per raggiungere la conformità, le organizzazioni devono implementare questi 12 requisiti entro il 31 marzo 2025.
IBM Cloud offre la seguente suite di servizi che ti aiuteranno a soddisfare specifici requisiti PCI DSS e ad accelerare il tuo percorso di conformità.
1. Installa e gestisci i controlli di sicurezza della rete |
---|
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services offre sicurezza e prestazioni leader di mercato ai tuoi contenuti web esterni e alle applicazioni Internet prima che raggiungano il cloud.
IBM Cloud Direct Link
La velocità e l'affidabilità di IBM Cloud Direct Link ti consentono di estendere la rete del data center della tua organizzazione, senza toccare la rete internet pubblica.
IBM Cloud Gateway Appliances
I dispositivi del gateway sono dispositivi che ti offrono un maggior controllo sul traffico di rete, ti consentono di accelerare le prestazioni della tua rete e aumentano la sicurezza della tua rete.
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway consente di collegare e gestire le reti IBM Cloud Virtual Private Cloud (VPC).
Dispositivo di sicurezza FortiGate
Implementa un paio di dispositivi virtuali FortiGate nel tuo ambiente che possono aiutarti a ridurre i rischi implementando controlli di sicurezza critici all'interno dell'infrastruttura virtuale.
Firewall per l'hardware
Un livello essenziale di sicurezza che viene fornito su richiesta senza interruzioni del servizio.
2. Applica configurazioni sicure a tutti i componenti del sistema |
---|
Dispositivo di sicurezza FortiGate
Implementa un paio di dispositivi virtuali FortiGate nel tuo ambiente che possono aiutarti a ridurre i rischi implementando controlli di sicurezza critici all'interno dell'infrastruttura virtuale.
Firewall per l'hardware
Un livello essenziale di sicurezza che viene fornito su richiesta senza interruzioni del servizio.
IBM Security and Compliance Center
Una suite di soluzioni integrate per definire le policy come codice, attuare controlli per l'implementazione sicura di dati e workload e valutare lo stato di sicurezza e conformità.
IBM Security and Compliance Center - Workload Protection
Trova e assegna priorità alle vulnerabilità del software, rileva e rispondi alle minacce e gestisci configurazioni, autorizzazioni e conformità dall'origine all'esecuzione.
IBM QRadar Suite
IBM® Security QRadar Suite è una soluzione modernizzata di rilevamento e risposta alle minacce progettata per unificare l'esperienza degli analisti di sicurezza e accelerarne la velocità durante l'intero ciclo di vita degli incidenti.
3. Proteggi i dati dei titolari di carte memorizzati |
---|
IBM Key Protect for IBM Cloud
Il servizio IBM Key Protect for IBM Cloud consente di eseguire il provisioning e l'archiviazione di chiavi crittografate per le applicazioni nei servizi IBM Cloud, in modo da poter visualizzare e gestire la crittografia dei dati e l'intero ciclo di vita delle chiavi da un'unica posizione centrale.
IBM Security and Compliance Center - Data Security Broker - Manager
Una soluzione di sicurezza della suite Security and Compliance Center che fornisce criteri di crittografia centralizzati e di audit dei dati per una pluralità di fonti di dati.
IBM Cloud Hyper Protect Virtual Servers
Runtime del container di calcolo confidenziale completamente gestito che consente l'implementazione di workload sensibili containerizzati in un ambiente altamente isolato con garanzia tecnica.
IBM Cloud Hardware Security Module
Protegge l'infrastruttura crittografica gestendo, elaborando e archiviando in modo più sicuro le chiavi crittografiche all'interno di un dispositivo hardware a prova di manomissione.
IBM Security Guardium
Software di sicurezza dei dati nel portafoglio IBM Security che scopre le vulnerabilità e protegge i dati sensibili on-premise e cloud.
Servizi di archiviazione cloud IBM
Un archivio scalabile, sicuro e conveniente per i tuoi dati, che supporta al contempo i workload tradizionali e nativi del cloud. Effettua il provisioning e la distribuzione dei servizi come l'accesso a storage di oggetti, storage a blocchi e storage di file.
IBM Cloud Database Services
Libera gli sviluppatori e l'IT da attività complesse e dispendiose in termini di tempo, tra cui la distribuzione e gli aggiornamenti del software dell'infrastruttura e del database, le operazioni dell'infrastruttura e il backup.
4. Proteggi i dati dei titolari di carte con una crittografia efficace durante la trasmissione su reti pubbliche aperte |
---|
IBM Cloud Direct Link
La velocità e l'affidabilità di IBM Cloud Direct Link ti consentono di estendere la rete del data center della tua organizzazione, senza toccare la rete internet pubblica.
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway consente di collegare e gestire le reti IBM Cloud Virtual Private Cloud (VPC).
IBM Key Protect for IBM Cloud
Il servizio IBM Key Protect for IBM Cloud consente di eseguire il provisioning e l'archiviazione di chiavi crittografate per le applicazioni nei servizi IBM Cloud, in modo da poter visualizzare e gestire la crittografia dei dati e l'intero ciclo di vita delle chiavi da un'unica posizione centrale.
5. Proteggi tutti i sistemi e le reti da software dannosi. |
---|
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services offre sicurezza e prestazioni leader di mercato ai tuoi contenuti web esterni e alle applicazioni Internet prima che raggiungano il cloud.
IBM Cloud Direct Link
La velocità e l'affidabilità di IBM Cloud Direct Link ti consentono di estendere la rete del data center della tua organizzazione, senza toccare la rete internet pubblica.
Dispositivo di sicurezza FortiGate
Implementa un paio di dispositivi virtuali FortiGate nel tuo ambiente che possono aiutarti a ridurre i rischi implementando controlli di sicurezza critici all'interno dell'infrastruttura virtuale.
IBM QRadar Suite
IBM® Security QRadar Suite è una soluzione modernizzata di rilevamento e risposta alle minacce progettata per unificare l'esperienza degli analisti di sicurezza e accelerarne la velocità durante l'intero ciclo di vita degli incidenti.
IBM Security Guardium
Software di sicurezza dei dati nel portafoglio IBM Security che scopre le vulnerabilità e protegge i dati sensibili on-premise e cloud.
6. Sviluppa e mantieni sistemi e software sicuri |
---|
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services offre sicurezza e prestazioni leader di mercato ai tuoi contenuti web esterni e alle applicazioni Internet prima che raggiungano il cloud.
IBM Security and Compliance Center - Workload Protection
Trova e assegna priorità alle vulnerabilità del software, rileva e rispondi alle minacce e gestisci configurazioni, autorizzazioni e conformità dall'origine all'esecuzione.
IBM Security Guardium
Software di sicurezza dei dati nel portafoglio IBM Security che scopre le vulnerabilità e protegge i dati sensibili on-premise e cloud.
IBM Cloud Container Registry
Memorizza e distribuisci le immagini dei container in un registro privato completamente gestito. Invia immagini private per eseguirle comodamente nell'IBM Cloud Kubernetes Service e in altri ambienti di runtime.
IBM Cloud Continuous Delivery
Affidati a DevOps pensato per le imprese. Crea toolchain sicure a supporto delle attività di distribuzione delle app. Automatizza build, test, distribuzioni e altro ancora.
IBM Cloud Kubernetes Service
Implementa cluster sicuri e ad elevata disponibilità in un'esperienza Kubernetes nativa.
7. Limita l'accesso ai componenti dei sistemi e ai dati dei titolari di carte in base alle esigenze aziendali |
---|
IBM Cloud App ID
Aggiungi facilmente l'autenticazione alle app web e per dispositivi mobili. Migliora le tue app con funzionalità di sicurezza avanzate come l'autenticazione a più fattori e l'accesso Single Sign-On.
IBM Cloud Identity and Access Management (IAM)
Il servizio IBM Cloud Identity and Access Management autentica in modo sicuro gli utenti e controlla l'accesso a tutte le risorse in modo coerente nella IBM Cloud Platform.
8. Identifica gli utenti e autentica l'accesso ai componenti del sistema |
---|
IBM Cloud App ID
Aggiungi facilmente l'autenticazione alle app web e per dispositivi mobili. Migliora le tue app con funzionalità di sicurezza avanzate come l'autenticazione a più fattori e l'accesso Single Sign-On.
IBM Cloud Secrets Manager
Creta dati secret in modo dinamico e noleggiai ad applicazioni mentre controlli l'accesso da un'unica posizione. Basato su HashiCorp Vault open source.
IBM Cloud Identity and Access Management (IAM)
Il servizio IBM Cloud Identity and Access Management autentica in modo sicuro gli utenti e controlla l'accesso a tutte le risorse in modo coerente nella IBM Cloud Platform.
9. Limita l'accesso fisico ai dati dei titolari di carte |
---|
IBM Cloud adotta diverse misure per una maggiore sicurezza fisica:
10. Registra e monitora tutti gli accessi ai componenti del sistema e ai dati dei titolari di carte |
---|
IBM Cloud Flow Logs for VPC
Abilita la raccolta, lo storage e la presentazione delle informazioni sul traffico IP (Internet Protocol) da e verso le interfacce di rete all'interno del tuo cloud privato virtuale (VPC).
IBM QRadar Suite
IBM® Security QRadar Suite è una soluzione modernizzata di rilevamento e risposta alle minacce progettata per unificare l'esperienza degli analisti di sicurezza e accelerarne la velocità durante l'intero ciclo di vita degli incidenti.
IBM Cloud Identity and Access Management (IAM)
Il servizio IBM Cloud Identity and Access Management autentica in modo sicuro gli utenti e controlla l'accesso a tutte le risorse in modo coerente nella IBM Cloud Platform.
IBM Security Guardium
Software di sicurezza dei dati nel portafoglio IBM Security che scopre le vulnerabilità e protegge i dati sensibili on-premise e cloud.
IBM Cloud Logs
Acquisisci l'osservabilità dei log con IBM Cloud Logs per migliorare le prestazioni dell'infrastruttura e delle app.
IBM Cloud Monitoring
Monitoraggio e risoluzione dei problemi del cloud per infrastrutture, applicazioni e servizi cloud.
11. Testa regolarmente la sicurezza dei sistemi e delle reti |
---|
IBM Security and Compliance Center
Una suite di soluzioni integrate per definire le policy come codice, attuare controlli per l'implementazione sicura di dati e workload e valutare lo stato di sicurezza e conformità.
IBM Security and Compliance Center - Workload Protection
Trova e assegna priorità alle vulnerabilità del software, rileva e rispondi alle minacce e gestisci configurazioni, autorizzazioni e conformità dall'origine all'esecuzione.
IBM QRadar Suite
IBM® Security QRadar Suite è una soluzione modernizzata di rilevamento e risposta alle minacce progettata per unificare l'esperienza degli analisti di sicurezza e accelerarne la velocità durante l'intero ciclo di vita degli incidenti.
IBM Security Guardium
Software di sicurezza dei dati nel portafoglio IBM Security che scopre le vulnerabilità e protegge i dati sensibili on-premise e cloud.
12. Supporta la sicurezza delle informazioni con politiche e programmi organizzativi |
---|
IBM Security and Compliance Center
Una suite di soluzioni integrate per definire le policy come codice, attuare controlli per l'implementazione sicura di dati e workload e valutare lo stato di sicurezza e conformità.
IBM Security and Compliance Center - Workload Protection
Trova e assegna priorità alle vulnerabilità del software, rileva e rispondi alle minacce e gestisci configurazioni, autorizzazioni e conformità dall'origine all'esecuzione.
IBM Cloud Logs
Acquisisci l'osservabilità dei log con IBM Cloud Logs per migliorare le prestazioni dell'infrastruttura e delle app.
IBM Cloud Monitoring
Monitoraggio e risoluzione dei problemi del cloud per infrastrutture, applicazioni e servizi cloud.
La versione più recente di PCI DSS (v4.0) è stata rilasciata nel marzo 2022, ed elenca questi 12 requisiti per la protezione dei dati dei titolari di carte. Per raggiungere la conformità, le organizzazioni devono implementare questi requisiti entro il 31 marzo 2025.
Installa e gestisci i controlli di sicurezza della rete
I controlli di sicurezza di rete (NSC) possono includere firewall, dispositivi virtuali, sistemi container, sistemi di sicurezza cloud e altre tecnologie che controllano l'accesso a sistemi e dati.
Applica configurazioni sicure a tutti i componenti del sistema
Le password predefinite e altre impostazioni di sistema predefinite fornite dai fornitori non devono essere utilizzate in quanto sono vulnerabili agli attacchi informatici.
Proteggi i dati dei titolari di carte memorizzati
A meno che non sia necessario per esigenze aziendali, le organizzazioni non devono archiviare i dati dei titolari di carte. Se questi dati vengono memorizzati, devono essere resi illeggibili tramite crittografia, mascheramento o altri mezzi.
Proteggi i dati dei titolari di carte con crittografia avanzata durante la trasmissione su reti pubbliche aperte
Per impedire agli hacker di accedere a informazioni sensibili come i numeri di carta e le informazioni di identificazione personale (PII), i dati devono essere crittografati prima e/o durante le trasmissioni di rete pubblica.
Proteggi tutti i sistemi e le reti dal software dannoso.
Mantieni il software antivirus e altre difese contro il malware, come spyware, keylogger, ransomware, script e altri virus.
Sviluppa e mantieni sistemi e software sicuri
Applicando le patch di sicurezza più recenti e seguendo pratiche sicure durante lo sviluppo di app, le organizzazioni possono contribuire a ridurre al minimo il rischio di violazioni dei dati.
Limita l'accesso ai componenti del sistema e ai dati dei titolari di carte in base alle esigenze aziendali
Forti misure di controllo degli accessi dovrebbero garantire che gli utenti autorizzati vedano solo le informazioni dei titolari di carte necessarie per svolgere il loro lavoro.
Identifica gli utenti e autentica l'accesso ai componenti del sistema
Un ID univoco con dati di autenticazione tracciabili dovrebbe essere assegnato a ogni persona con accesso informatico a sistemi e dati sensibili.
Limita l'accesso fisico ai dati dei titolari di carte
Per impedire a persone non autorizzate di rimuovere l'hardware o le copie cartacee contenenti i dati dei titolari di carte, l'accesso fisico ai sistemi dovrebbe essere limitato.
Registra e monitora tutti gli accessi ai componenti del sistema e ai dati dei titolari di carte
La possibilità di automatizzare la registrazione e il monitoraggio di sistemi e dati sensibili può aiutare a rilevare attività sospette e supportare l'analisi forense in seguito a una violazione.
Testa regolarmente la sicurezza di sistemi e reti
Poiché i criminali informatici cercano continuamente nuove vulnerabilità in ambienti IT in evoluzione, i test di penetrazione e le scansioni delle vulnerabilità devono essere eseguiti regolarmente.
Supporta la sicurezza delle informazioni con politiche e programmi organizzativi
Le organizzazioni dovrebbero creare una politica completa sulla sicurezza delle informazioni che delinei le procedure per l'identificazione e la gestione dei rischi, una formazione continua sulla consapevolezza della sicurezza e la conformità al PCI DSS.
Le organizzazioni disciplinate dallo standard PCI DSS devono documentare la conformità ogni anno. Le organizzazioni più grandi sono tenute a presentare un rapporto dettagliato sulla conformità (ROC) e un attestato di conformità (AOC). Sia i documenti ROC che i documenti AOC devono essere completati e firmati da un Qualified Security Assessor (QSA) certificato dal PCI Standard Security Council. Le organizzazioni di piccole e medie dimensioni possono completare un questionario di autovalutazione (SAQ) per convalidare la conformità.
Se un'organizzazione effettua la trasmissione dei dati dei titolari di carte via Internet, potrebbe anche essere necessario implementare la gestione delle vulnerabilità per garantire la sicurezza della rete. Per ottenere la conformità, un fornitore di servizi di scansione approvato (ASV) certificato dal PCI SSC deve eseguire una scansione trimestrale delle vulnerabilità per testare la sicurezza della rete.
I requisiti di segnalazione per PCI DSS variano in base al numero di transazioni elaborate annualmente da un'organizzazione. Esistono quattro livelli di conformità.
Livello 1
Più di 6 milioni di transazioni con carta di pagamento all'anno. È necessario inviare una relazione sulla conformità completata da un Qualified Security Assessor. È necessario che un fornitore di scansione approvato esegua una scansione trimestrale delle vulnerabilità della rete.
Livello 2
Da un milione a 6 milioni di transazioni con carta di pagamento all'anno. È necessario che un fornitore di scansione approvato esegua una scansione trimestrale delle vulnerabilità della rete.
Livello 3
Da 20.000 a 1 milione di transazioni con carta di pagamento all'anno. È necessario completare un questionario di autovalutazione e potrebbe essere necessario eseguire scansioni trimestrali delle vulnerabilità della rete.
Livello 4
Meno di 20.000 transazioni annuali con carta. È necessario completare un questionario di autovalutazione e potrebbe essere necessario eseguire scansioni trimestrali delle vulnerabilità della rete.
Sebbene i commercianti e i fornitori di servizi di pagamento siano tenuti a seguire lo standard PCI DSS, la loro conformità non è imposta dalla legge, dai governi o persino dal PCI Security Standards Council. Invece, la conformità è gestita dalle società emittenti di carte di credito, come Visa o MasterCard, e dagli acquirer, che sono banche o istituti finanziari che elaborano i pagamenti con carta.
Una volta all'anno, le organizzazioni che elaborano o archiviano i dati dei titolari di carte devono convalidare la loro aderenza al PCI DSS. Se un'organizzazione esternalizza l'elaborazione dei pagamenti, deve comunque affermare che le transazioni con carte di credito sono protette dai requisiti dello standard PCI DSS.
Le multe per la non conformità al PCI DSS sono stabilite dai marchi delle carte di pagamento e negoziate tra i marchi, il commerciante o il fornitore di servizi e le banche o altri istituti finanziari impattati. I marchi di carte di pagamento non pubblicano i calendari delle multe o delle commissioni e in genere non rendono disponibili al pubblico le informazioni sulle sanzioni.
Come regola generale, le multe per non conformità possono variare da 5.000 a 10.000 USD durante i primi tre mesi di non conformità, fino a 50.000-100.000 USD al mese dopo sei mesi di non conformità. In caso di violazione dei dati, i commercianti o i fornitori di servizi non conformi possono essere multati da 50 a 90 USD per cliente fino a un massimo di 500.000 USD.
I marchi di carte di pagamento possono imporre multe molto più alte a loro discrezione, e la sanzione finale negoziata per la non conformità agli standard PCI DSS di un'organizzazione - in particolare la non conformità che porta a una violazione dei dati - può arrivare a milioni o centinaia di milioni di dollari per coprire i costi delle indagini, delle richieste di risarcimento da parte del governo, delle azioni legali collettive e altro ancora.
Oltre a incorrere in multe, alle organizzazioni non conformi potrebbe essere vietato elaborare transazioni con carta di pagamento.
Protezione dei dati sensibili
Le conseguenze di una violazione dei dati che coinvolge i dati dei titolari di carte sono gravi. Oltre a multe, sanzioni legali e danni alla reputazione, le organizzazioni possono subire la perdita di clienti effettivi e potenziali. I requisiti del PCI DSS aiutano a difendersi dal furto di dati sensibili.
Aumento della fiducia dei clienti
Poiché le frodi e il furto di identità sono spesso in prima pagina, i consumatori potrebbero essere riluttanti a fornire ai rivenditori i dati sensibili delle carte di credito. La conformità PCI DSS aiuta i clienti a fidarsi della protezione dei propri dati, consentendo loro di essere più sicuri quando effettuano acquisti.
Supporto di una più ampia conformità normativa
Sebbene il PCI DSS non sia un mandato legale, i controlli di sicurezza che mette in atto possono aiutare le organizzazioni a raggiungere la conformità alle normative governative. Porzioni di PCI DSS sono complementari alle leggi sulla protezione dei dati quali l'Health Insurance Portability and Accountability Act of 1996 (HIPAA), il Sarbanes Oxley Act (SOX) e il Regolamento generale sulla protezione dei dati (GDPR).
Affronta la sicurezza unificata, la conformità e la visibilità dei rischi in ambienti ibridi multicloud.
Crea un'infrastruttura scalabile a un costo inferiore, implementa istantaneamente nuove applicazioni e scala i workload sensibili e mission-critical in base alla domanda, il tutto all'interno di una piattaforma con piena sicurezza.
Preparati meglio alle violazioni comprendendone le cause e i fattori che aumentano o riducono i costi. Impara dalle esperienze di oltre 550 organizzazioni colpite da una violazione dei dati.
Le PII sono tutte le informazioni che possono essere utilizzate per scoprire l'identità di un individuo, ad esempio codice fiscale, nome completo o indirizzo e-mail.
La sicurezza di rete è il campo della sicurezza informatica incentrato sulla protezione delle reti di computer da minacce informatiche.