Ogni organizzazione che rientra nelle normative PCI DSS è soggetta al pagamento di rigorose multe e sanzioni in caso di mancata conformità a questo standard. Le multe variano e dipendono dalla gravità della violazione del regolamento, ma, di solito, si aggirano su poche migliaia fino ad arrivare a centinaia di migliaia di dollari e possono essere ripetute finché non vengono rettificate. Tuttavia, i costi correlati alla reputazione di un brand possono essere molto più alti. La mancanza di fiducia dei clienti derivante da una violazione di dati può condurre alla perdita di clienti e, persino, a cause collettive: una violazione di dati riguardante 34 milioni di carte di pagamento si è conclusa con un'azione legale di 8 milioni di dollari nel 2019 e l'indagine condotta ha riscontrato varie violazioni dello standard PCI DSS.
Gli hacker sono attratti dal denaro, pertanto le transazioni finanziarie sono un obiettivo principale per le frodi e le attività dei criminali informatici. Ad esempio, in un rapporto stilato nel 2022 da Akamai è emerso come il numero di attacchi alle applicazioni web e alle API sferrati contro i servizi finanziari sia cresciuto del 257% rispetto all'anno precedente. Inoltre, le cifre fornite dalla Federal Trade Commission mostrano come i consumatori abbiano perso quasi 8,8 miliardi di dollari nel 2022 a causa di frodi finanziarie con un incremento del 44% rispetto al 2021.
Per aiutare ad arginare la crescente ondata di frodi finanziarie e crimini finanziari perpetrati con i dati delle carte di pagamento, il PCI Security Standards Council offre uno standard per la sicurezza delle informazioni noto come PCI DSS (Payment Card Industry Data Security Standard). Ecco cosa includono i requisiti dello standard PCI DSS.
Panoramica sullo standard PCI DSS
Con la sigla PCI DSS ci si riferisce ad una serie di standard per la sicurezza lanciati nel 2004, che si applicano a tutte le organizzazioni che si occupano dell'accettazione, dell'elaborazione, dell'archiviazione o del trasferimento dei dati delle carte di credito. Lo standard PCI DSS viene gestito dal PCI SSC (Payment Card Industry Security Standards Council), formato da un consorzio costituito dalle più importanti società che emettono carte di credito: Mastercard, Visa, Discover, American Express e JCB.
Il PCI DSS è riconosciuto a livello globale come standard per garantire la sicurezza dei dati delle carte di pagamento e per prevenire le violazioni alla sicurezza. Tuttavia, questo standard della cybersicurezza è soggetto a variazioni determinate dalle minacce emergenti e in continua evoluzione. La versione più recente dello standard è la PCI DSS v4.0, rilasciata a marzo 2022, e le aziende dovranno conformarsi pienamente entro marzo 2025 (12 mesi dopo il ritiro della versione PCI DSS v3.2.1 a marzo 2024).
Lo standard PCI DSS consente di gestire una varietà di minacce, tra cui:
- Malware
- Phishing
- Autenticazione e controllo degli accessi da remoto
- Password poco complesse
- Software legacy
- Skimming delle carte di credito
Controlli di sicurezza PCI DSS
I 12 controlli previsti dallo standard PCI DSS per proteggere i dati dei titolari di carte di credito sono basati sulla filosofia che pone al centro della visione le persone, i processi e la tecnologia. Tra i controlli figurano: uso dei firewall, minimizzazione dei dati, trasmissione crittografata dei dati dei titolari di carte di credito, rigorosi controlli degli accessi, software anti-virus e valutazioni regolari dei test di penetrazione e dei rischi correlati alle vulnerabilità, gestione delle patch e controlli generali per la protezione degli ambienti.
Tipi di organizzazioni che sono tenute a conformarsi allo standard PCI DSS
Tutte le aziende che gestiscono transazioni finanziarie costituiscono un possibile bersaglio per i criminali informatici, che sono presenti lì dove sentono odore di denaro. Si prevede che le perdite causate all'e-commerce dalle frodi nei pagamenti online raggiungeranno i 48 miliardi di dollari USA in tutto il mondo entro la fine del 2023. Il sondaggio sul crimine e sulle frodi economiche a livello globale di PwC del 2022 ha riscontrato che più della metà degli intervistati ha subito una frode finanziaria nel corso del biennio precedente. Secondo il rapporto delle indagini sulle violazioni dei dati 2023 di Verizon (DBIR), nel settore finanziario, la maggior parte delle violazioni di dati sono causate da un abuso dei privilegi.
Poiché lo standard PCI DSS si applica a tutte le organizzazioni che si occupano dell'accettazione, dell'elaborazione, dell'archiviazione o del trasferimento dei dati dei titolari di carte di credito, i seguenti tipi di organizzazioni devono conformarsi allo standard:
- Commercianti di tutte le dimensioni
- Istituti finanziari
- Processori di pagamento basati su hardware e software
- Fornitori di servizi POS (Point-of-Sale)
Tra le organizzazioni che possono conformarsi allo standard PCI DSS, figurano le seguenti:
Piccoli commercianti e retailer
Le piccole e medie imprese (PMI) sono maggiormente a rischio di subire una grave violazione di dati dei loro omologhi più grandi. Secondo il DBIR del 2022, il 61% delle PMI ha subito almeno una violazione di dati. I piccoli commercianti devono conformarsi ai requisiti dello standard PCI DSS se rientrano nei quattro livelli seguenti:
Livello 1: elaborazione di 6 milioni di transazioni di carte di credito all'anno
Livello 2: elaborazione di 1 - 6 milioni di transazioni di carte di credito all'anno
Livello 3: elaborazione di 20.000 - 1 milione di transazioni di carte di credito all'anno
Livello 4: elaborazione di meno di 20.000 transazioni di carte di credito all'anno
I piccoli commercianti devono garantire un approccio alla sicurezza completo: i propri sistemi IT sono protetti da firewall, vengono implementati rigorosi controlli degli accessi e i dati dei titolari delle carte di credito sono crittografati. Per raggiungere e semplificare questo livello di sicurezza completa, le PMI devono cercare soluzioni in grado di proteggere dati, dispositivi e persone.
Fornitore di servizi
Un fornitore di servizi è un'azienda che può influire sulla sicurezza dei dati relativi ai pagamenti, anche se appartengono ad un'altra organizzazione. Lo standard PCI DSS presenta due livelli di conformità che dipendono dai tipi di transazioni gestite dal fornitore di servizi:
Fornitore di servizi di livello 1: almeno 300.000 transazioni all'anno (almeno 2,5 milioni di transazioni per American Express)
Fornitore di servizi di livello 2: meno di 300.000 transazioni all'anno (meno di 2,5 milioni di transazioni per American Express)
Come per le PMI del settore del commercio, i fornitori di servizi devono attenersi ai controlli e alla misure di sicurezza dello standard PCI DSS.
In che modo Akamai può agevolare la conformità al PCI DSS v4.0?
Akamai è certificata come fornitore di servizi PCI DSS di livello 1, ossia il livello di valutazione più alto possibile. Akamai offre anche una gamma di soluzioni che possono aiutare le organizzazioni a conformarsi ai sei pilastri dello standard PCI DSS. Le seguenti soluzioni Akamai offrono controlli di sicurezza conformi allo standard PCI in grado di soddisfare i 12 requisiti previsti:
App & API Protector con protezione dai malware: garantisce la conformità del registro e la protezione da fughe di dati PII, attacchi zero-day e vulnerabilità CVE, nonché da attacchi basati sull'edge.
Sicurezza delle API: rilevamento e mitigazione dell'abuso di logica e comportamenti delle API, protezione di sedi e risorse e da perdite di dati PII.
Client-side Protection & Compliance: gestione di un inventario e giustificazione di tutti gli script eseguiti all'interno del browser, monitoraggio delle modifiche nel comportamento degli script e segnalazione di eventuali attività di script sospette.
Akamai Guardicore Segmentation: esamina le risorse regolamentate per raggiungere la conformità più facilmente.
Secure Internet Access Enterprise: Bloccate o monitorate i caricamenti di contenuti con dati PII, PCI, DSS o HIPAA.
Domande frequenti (FAQ)
Lo standard di sicurezza PCI DSS (Payment Card Industry Data Security Standard) stabilisce un insieme di regole che garantiscono che tutte le aziende che si occupano dell'accettazione, dell'elaborazione, dell'archiviazione o del trasferimento dei dati delle carte di credito mantengano un ambiente sicuro.
Ogni organizzazione, indipendentemente dalle dimensioni o dal numero di transazioni, deve conformarsi allo standard PCI DSS se si occupa dell'accettazione, del trasferimento o dell'archiviazione dei dati dei titolari di carte di credito.
Le organizzazioni conformi allo standard PCI DSS devono focalizzarsi sulla protezione dei dati finanziari. La sicurezza dello standard PCI DSS copre due classi generiche di dati: i dati dei titolari di carte di credito e i dati di autenticazione sensibili.
Dati dei titolari di carte di credito
- Numero di conto principale (PAN)
- Nome del titolare della carta di credito
- Data di scadenza
- Codice di servizio
Dati di autenticazione sensibili
- Dati completi (dati della banda magnetica o equivalenti su un chip)
- CAV2/CVC2/CVV2/CID
- PIN/blocchi PIN
