PCI-DSS

Che cos’è

Il Payment Card Industry Data Security Standard (PCI-DSS) è lo standard mandatorio — nonostante sia privato e non una legge — per qualsiasi organizzazione che tratta, memorizza o trasmette dati di carta di pagamento (PAN, CAV2, CVC2, PIN block). È imposto dai circuiti (Visa, Mastercard, AmEx, JCB, Discover) attraverso le banche acquirer. L’attuale versione di riferimento è v4.0.1 (marzo 2024), con deadline di conformità per i controlli “future-dated” al 31 marzo 2025.

La conformità si dimostra con:

• SAQ (Self-Assessment Questionnaire) per i merchant di livello inferiore (tipologie A, A-EP, B, B-IP, C, C-VT, D),
• ROC (Report on Compliance) firmato da un QSA (Qualified Security Assessor) per i merchant Tier 1.

Cosa ottieni

• Scope assessment — identificazione precisa del Cardholder Data Environment (CDE) e di tutti i sistemi connessi, connessi indirettamente o di supporto.
• Gap analysis v4.0.1 su tutti i 12 requirement e i controlli sottostanti.
• Piano di segmentazione di rete — la strategia più efficace per ridurre lo scope (e quindi costi e rischio).
• Procedure operative documentate: gestione delle chiavi di cifratura, rotazione, key ceremony, gestione degli accessi privilegiati, logging centralizzato, file integrity monitoring, gestione degli incidenti.
• Supporto al pentest annuale — requirement 11.4, obbligatorio.
• Compilazione guidata di SAQ o predisposizione al lavoro del QSA per il ROC.
• Piano di continuità — PCI-DSS non è una certificazione “una tantum”: è continuativa.

A chi si rivolge

• Merchant e-commerce di ogni dimensione.
• Gateway di pagamento, PSP, acquirer.
• Contact center che accettano pagamenti telefonici (tipicamente il punto di scope più pericoloso).
• Fornitori di servizi (managed hosting, SaaS) che impattano il CDE di un cliente.
• Service provider di livello 1 e 2 — obbligati alla ROC.

Metodologia

Il mio approccio punta a ridurre drasticamente lo scope prima di investire in controlli costosi. Fasi:

1. Discovery del flusso dati di pagamento — ogni touch point, ogni sistema, ogni log dove potrebbe transitare un PAN.
2. Segmentation strategy — separare il CDE dal resto della rete è quasi sempre l’intervento più remunerativo.
3. Gap analysis v4.0.1 dettagliata, con focus sui future-dated requirements 2025.
4. Remediation plan con priorità dettate dall’impatto sullo scope.
5. Implementation dei controlli: hardening, cifratura end-to-end, tokenizzazione dove possibile, logging centralizzato, FIM, IDS/IPS.
6. Pentest annuale + VA trimestrale (coordinato con ASV per lo scan esterno).
7. Attestation — SAQ o preparazione al QSA.

Perché con me

Ho analizzato numerosi casi reali di phishing su gateway di pagamento e POS malware (vedi articoli del 2019–2020), e conosco il lato offensive del fraud. Questa prospettiva è preziosa per ridisegnare il CDE con una mentalità di difesa profonda — non solo check-list. Per il ROC formale collaboro con QSA accreditati; per tutto il lavoro di preparazione e audit interno l’ingaggio è diretto.