spot_img

Muoversi nel nuovo PCI DSS 4.0

Con il crescente trasferimento delle transazioni online, il potenziale per le minacce informatiche aumenta, rendendo la sicurezza dei sistemi di pagamento estremamente importante.

Il Payment Card Industry Security Standards Council (PCI SSC)  ha creato lo standard di sicurezza noto come PCI DSS per garantire un livello base di protezione per consumatori e banche nell’era di Internet. L’originale PCI DSS v1.0 è stato rilasciato nel 2004 e nel 2022, quasi 20 anni dopo il primo rilascio, è stata pubblicata la versione 4.0 che è entrata in vigore il 31 marzo 2024, introducendo aggiornamenti e nuovi requisiti progettati per affrontare le nove minacce.

Quali sono le novità

PCI DSS 4.0 mira ad affrontare minacce e tecnologie in evoluzione nel settore dei pagamenti, promuovendo processi di sicurezza continui. L’intento del PCI con il rilascio della versione 4.0 non è solo di stare al passo con i progressi tecnologici e le minacce emergenti ma anche di anticiparli, garantendo che le misure di sicurezza in atto possano essere dinamiche tanto quanto i rischi che intendono mitigare.

Lo standard introduce un “approccio personalizzato”, permettendo alle organizzazioni di adattare le loro strategie di conformità ai loro ambienti e rischi unici, enfatizzando la sicurezza come un processo continuo piuttosto che un obiettivo “una tantum”. Gli aggiornamenti chiave includono requisiti più rigorosi per l’autenticazione multi-fattore (MFA), nuove linee guida per l’e-commerce e il phishing e un framework per soluzioni di sicurezza più flessibili.

Inoltre, presenta procedure di verifica migliorate e un focus su sicurezza della rete, protezione da malware e configurazioni sicure per proteggere da accessi non autorizzati e violazioni dei dati.

Chi si deve conformare

Fino al 31 marzo 2025, i nuovi requisiti specifici da PCI DSS 4.0 sono considerati best practice, fornendo alle organizzazioni tempo aggiuntivo per implementare completamente questi cambiamenti. Tuttavia, a partire dal 1 aprile 2025 tutti i requisiti diventeranno obbligatori.

PCI DSS 4.0 coinvolge un’ampia gamma di organizzazioni, da piccoli commercianti a grandi istituzioni finanziarie: tutti coloro che elaborano, memorizzano o trasmettono dati dei titolari di carte, prevedendo misure di sicurezza robuste per proteggere le informazioni dei titolari di carte di pagamento.

La versione 4.0 copre una vasta gamma di argomenti legati direttamente alla sicurezza cloud, incluse le componenti di architettura, monitoraggio e “operation”, richiedendo l’implementazione di alcuni controlli di sicurezza, come la crittografia, l’autenticazione e il controllo degli accessi.

Come OpenText Cybersecurity supporta PCI DSS 4.0

Storicamente, Voltage SecureData ha aiutato le organizzazioni a proteggere i dati personali associati alle carte di pagamento e ciò continuerà con l’introduzione del PCI DSS 4.0. Tuttavia, il PCI DSS 4.0 introduce nuovi requisiti di sicurezza applicativa che riflettono le minacce in evoluzione nei sistemi di pagamento digitale.

Questi aggiornamenti richiedendo un cambiamento strategico nel modo in cui le organizzazioni proteggono i dati dei titolari di carte.

La maggior parte dei requisiti che governano la sicurezza delle applicazioni rientra nella Sezione 6 del PCI DSS 4.0, e alcuni dei principali requisiti AppSec che Fortify può affrontare efficacemente includono:

  • Test completo delle applicazioni: Per prevenire vulnerabilità e altri errori da implementare, gli sviluppatori dovranno testare continuamente le applicazioni nell’ambito durante il ciclo di vita dello sviluppo del software (SDLC) utilizzando strumenti di test della sicurezza delle applicazioni statici e dinamici. Ciò è implicito nel Requisito 6.2.1, che impone che il software personalizzato e customizzato sia sviluppato in modo sicuro e incorpori gli aspetti della sicurezza in ogni fase del ciclo di vita dello sviluppo, specificando nel Requisito 6.2.3 che è necessario effettuare le opportune revisioni e verifiche su ogni software custom o personalizzato prima di rilasciarlo in produzione. Con la sua capacità di eseguire analisi statiche e dinamiche, Fortify può scoprire potenziali minacce nel codice software e nelle applicazioni in esecuzione, garantendo che le app che interagiscono con i dati delle carte di pagamento siano accuratamente testate contro le vulnerabilità.
  • Gestione dell’inventario: il Requisito 6.3.2 introduce un aspetto significativo che è la richiesta di mantenere un inventario di tutto il software personalizzato e delle componenti di terze parti presenti al suo interno in modo. Questo facilita e migliora l’applicazione delle patch e la gestione delle vulnerabilità, garantendo una chiara comprensione di tutti gli elementi che compongono l’ambiente applicativo. Fortify Software Composition Analysis (SCA) in modalità standalone oppure supportato dalla tecnologia Debricked (nella versione Fortify on demand) o Sonatype (in modalità off cloud) può consentire alle organizzazioni di generare questo tipo di archivio per il software open source, rispondendo a uno dei requisiti più critici associati alla sicurezza applicativa.
  • Correzione delle vulnerabilità: Il nuovo standard specifica che le vulnerabilità identificate devono essere risolte prontamente, per poi far seguire una verifica per assicurare la loro risoluzione efficace. PCI DSS 4.0 non specifica tempistiche precise per la correzione delle vulnerabilità ma quelle ad alto rischio dovrebbero essere affrontate con maggiore priorità. Questo sottolinea l’importanza di un robusto programma di test per identificare e correggere le carenze di sicurezza. Attraverso l’integrazione con la tecnologia di Mobb, Fortify prevede un approccio automatizzato per una rapida correzione delle  vulnerabilità all’interno dell’ambiente di test statico (SAST).
  • Sicurezza delle API: In funzione del ruolo cruciale delle API nell’elaborazione dei pagamenti, il PCI DSS 4.0 richiede che esse siano sottoposte ad approfondite analisi di vulnerabilità e test di penetrazione. Ciò include condurre valutazioni dettagliate per identificare e correggere le vulnerabilità, assicurando che le API siano protette contro accessi non autorizzati. Fortify fornisce le funzioni per eseguire la scansione delle vulnerabilità specifiche delle API.
  • Formazione degli sviluppatori: Gli sviluppatori sono soggetti a più stringenti controlli con requisiti per la formazione annuale sulla codifica sicura e la verifica che tale formazione sia stata ricevuta. L’integrazione di Fortify con Secure Code Warrior fornisce accesso in tempo reale a una formazione interattiva sulla sicurezza delle applicazioni all’interno del Fortify Software Security Center e Fortify on Demand.

IN EVIDENZA

COME PROTEGGERE I DATI SANITARI - Martedì 20 febbraio 2024 11.00 - 11.45 CET

Venite a scoprire le caratteristiche di Voltage Fusion di OpenText, la soluzione in grado di: • scoprire dove si trovano i dati strutturati e non sensibili e sanitari • valutarne il rischio e l ‘esposizione • applicare regole di protezione che ne rendano anonimo il contenuto Webinar: “

Title image box

Add an Introductory Description to make your audience curious by simply setting an Excerpt on this section

NON FARTI SFUGGIRE LA PROMOZIONE

Clicca qui per scoprire l’offerta OpenText OpenSaaS: sottoscrivendo un contratto minimo di un anno, ottieni un’estensione di 90 giorni del tuo abbonamento OpenText Fortify on Demand.

LA DATA DISCOVERY ALIMENTA LA PROTEZIONE - Scopri in questo video perchè la conformità alla privacy, il green-IT e la riduzione dei rischi finanziari iniziano con la Data Discovery

WEBINAR

AI + UNSECURE DATA = FINANCIAL RISK - Giovedì 11 aprile 2024 - Ore 17.00 CEST - Cosa succede quando i dati sensibili si scontrano con la potenza dell'intelligenza artificiale? Come può la vostra azienda proteggersi da potenziali violazioni dei dati e garantire la sicurezza delle informazioni sensibili? Scoprite insieme a noi l'intersezione critica tra IA e dati sensibili, analizzando come identificare e misurare il rischio finanziario.

SCARICA IL WHITE PAPER

Scarica la tua copia di QUANTIFYING DATA RISK: VISUALIZING FINANCIAL EXPOSURE per comprendere come l'automazione del Data Discovery possa anche aiutare a quantificare il rischio e scopri perché le principali categorie di dati compromessi sono quelli personali di dipendenti e clienti

LA FORMICA E LA CICALA AFFRONTANO I DATI SENSIBILI DI CYBERLANDIA - Guarda in questo video l’approccio da formica e quella da cicala nella gestione dei dati sensibili

SCARICA IL REPORT

Scarica la tua copia di THE FORRESTER WAVE: DATA SECURITY PLATFORMS, Q1 2023 per un'analisi approfondita sugli ultimi progressi nelle piattaforme di sicurezza dei dati e per avere una valutazione accurata delle soluzioni presenti nel mercato.