Con il crescente trasferimento delle transazioni online, il potenziale per le minacce informatiche aumenta, rendendo la sicurezza dei sistemi di pagamento estremamente importante.
Il Payment Card Industry Security Standards Council (PCI SSC) ha creato lo standard di sicurezza noto come PCI DSS per garantire un livello base di protezione per consumatori e banche nell’era di Internet. L’originale PCI DSS v1.0 è stato rilasciato nel 2004 e nel 2022, quasi 20 anni dopo il primo rilascio, è stata pubblicata la versione 4.0 che è entrata in vigore il 31 marzo 2024, introducendo aggiornamenti e nuovi requisiti progettati per affrontare le nove minacce.
Quali sono le novità
PCI DSS 4.0 mira ad affrontare minacce e tecnologie in evoluzione nel settore dei pagamenti, promuovendo processi di sicurezza continui. L’intento del PCI con il rilascio della versione 4.0 non è solo di stare al passo con i progressi tecnologici e le minacce emergenti ma anche di anticiparli, garantendo che le misure di sicurezza in atto possano essere dinamiche tanto quanto i rischi che intendono mitigare.
Lo standard introduce un “approccio personalizzato”, permettendo alle organizzazioni di adattare le loro strategie di conformità ai loro ambienti e rischi unici, enfatizzando la sicurezza come un processo continuo piuttosto che un obiettivo “una tantum”. Gli aggiornamenti chiave includono requisiti più rigorosi per l’autenticazione multi-fattore (MFA), nuove linee guida per l’e-commerce e il phishing e un framework per soluzioni di sicurezza più flessibili.
Inoltre, presenta procedure di verifica migliorate e un focus su sicurezza della rete, protezione da malware e configurazioni sicure per proteggere da accessi non autorizzati e violazioni dei dati.
Chi si deve conformare
Fino al 31 marzo 2025, i nuovi requisiti specifici da PCI DSS 4.0 sono considerati best practice, fornendo alle organizzazioni tempo aggiuntivo per implementare completamente questi cambiamenti. Tuttavia, a partire dal 1 aprile 2025 tutti i requisiti diventeranno obbligatori.
PCI DSS 4.0 coinvolge un’ampia gamma di organizzazioni, da piccoli commercianti a grandi istituzioni finanziarie: tutti coloro che elaborano, memorizzano o trasmettono dati dei titolari di carte, prevedendo misure di sicurezza robuste per proteggere le informazioni dei titolari di carte di pagamento.
La versione 4.0 copre una vasta gamma di argomenti legati direttamente alla sicurezza cloud, incluse le componenti di architettura, monitoraggio e “operation”, richiedendo l’implementazione di alcuni controlli di sicurezza, come la crittografia, l’autenticazione e il controllo degli accessi.
Come OpenText Cybersecurity supporta PCI DSS 4.0
Storicamente, Voltage SecureData ha aiutato le organizzazioni a proteggere i dati personali associati alle carte di pagamento e ciò continuerà con l’introduzione del PCI DSS 4.0. Tuttavia, il PCI DSS 4.0 introduce nuovi requisiti di sicurezza applicativa che riflettono le minacce in evoluzione nei sistemi di pagamento digitale.
Questi aggiornamenti richiedendo un cambiamento strategico nel modo in cui le organizzazioni proteggono i dati dei titolari di carte.
La maggior parte dei requisiti che governano la sicurezza delle applicazioni rientra nella Sezione 6 del PCI DSS 4.0, e alcuni dei principali requisiti AppSec che Fortify può affrontare efficacemente includono:
- Test completo delle applicazioni: Per prevenire vulnerabilità e altri errori da implementare, gli sviluppatori dovranno testare continuamente le applicazioni nell’ambito durante il ciclo di vita dello sviluppo del software (SDLC) utilizzando strumenti di test della sicurezza delle applicazioni statici e dinamici. Ciò è implicito nel Requisito 6.2.1, che impone che il software personalizzato e customizzato sia sviluppato in modo sicuro e incorpori gli aspetti della sicurezza in ogni fase del ciclo di vita dello sviluppo, specificando nel Requisito 6.2.3 che è necessario effettuare le opportune revisioni e verifiche su ogni software custom o personalizzato prima di rilasciarlo in produzione. Con la sua capacità di eseguire analisi statiche e dinamiche, Fortify può scoprire potenziali minacce nel codice software e nelle applicazioni in esecuzione, garantendo che le app che interagiscono con i dati delle carte di pagamento siano accuratamente testate contro le vulnerabilità.
- Gestione dell’inventario: il Requisito 6.3.2 introduce un aspetto significativo che è la richiesta di mantenere un inventario di tutto il software personalizzato e delle componenti di terze parti presenti al suo interno in modo. Questo facilita e migliora l’applicazione delle patch e la gestione delle vulnerabilità, garantendo una chiara comprensione di tutti gli elementi che compongono l’ambiente applicativo. Fortify Software Composition Analysis (SCA) in modalità standalone oppure supportato dalla tecnologia Debricked (nella versione Fortify on demand) o Sonatype (in modalità off cloud) può consentire alle organizzazioni di generare questo tipo di archivio per il software open source, rispondendo a uno dei requisiti più critici associati alla sicurezza applicativa.
- Correzione delle vulnerabilità: Il nuovo standard specifica che le vulnerabilità identificate devono essere risolte prontamente, per poi far seguire una verifica per assicurare la loro risoluzione efficace. PCI DSS 4.0 non specifica tempistiche precise per la correzione delle vulnerabilità ma quelle ad alto rischio dovrebbero essere affrontate con maggiore priorità. Questo sottolinea l’importanza di un robusto programma di test per identificare e correggere le carenze di sicurezza. Attraverso l’integrazione con la tecnologia di Mobb, Fortify prevede un approccio automatizzato per una rapida correzione delle vulnerabilità all’interno dell’ambiente di test statico (SAST).
- Sicurezza delle API: In funzione del ruolo cruciale delle API nell’elaborazione dei pagamenti, il PCI DSS 4.0 richiede che esse siano sottoposte ad approfondite analisi di vulnerabilità e test di penetrazione. Ciò include condurre valutazioni dettagliate per identificare e correggere le vulnerabilità, assicurando che le API siano protette contro accessi non autorizzati. Fortify fornisce le funzioni per eseguire la scansione delle vulnerabilità specifiche delle API.
- Formazione degli sviluppatori: Gli sviluppatori sono soggetti a più stringenti controlli con requisiti per la formazione annuale sulla codifica sicura e la verifica che tale formazione sia stata ricevuta. L’integrazione di Fortify con Secure Code Warrior fornisce accesso in tempo reale a una formazione interattiva sulla sicurezza delle applicazioni all’interno del Fortify Software Security Center e Fortify on Demand.