Carte di pagamento, aggiornamento standard PCI DSS. A che punto siamo?

Carte di pagamento, aggiornamento standard PCI DSS. A che punto siamo?

Il PCI DSS è uno degli schemi di sicurezza settoriali più diffusi al mondo e il suo aggiornamento alla versione 4.0 si sta concludendo. Tra le novità, il cambiamento dei controlli compensativi e l’introduzione del concetto di analisi mirata dei rischi

Lo sviluppo della prossima versione 4.0 del famoso Payment Card Industry Data Security Standard (PCI DSS) è ormai attivo da un paio d’anni e ha già dato luogo a una prima bozza in ottobre 2019 e a una più recente seconda bozza esattamente un anno dopo. Non essendo possibile rendere pubblico questo documento né i dettagli al suo interno, si cercherà di dare una prospettiva di alto livello sugli elementi principali che, per quanto ne sappiamo oggi, riteniamo che potrebbero più probabilmente essere presenti nella versione finale dello schema, attesa nel corso del 2021.

Tra gli elementi di novità, che hanno catalizzato maggiore attenzione fino a questo momento, merita la prima menzione il tema del cambiamento dei controlli compensativi. L’idea è di dare ancora più libertà nella definizione e nell’uso di controlli alternativi a quelli espressi nello schema, lasciando la possibilità all’organizzazione di sceglierli usando un approccio risk-based strutturato e all’auditor di definire le proprie procedure di test per esse. La conferma del perimetro della certificazione, debolmente presente nella versione attuale del PCI DSS e poi rinforzata da un supplemento dedicato, è un altro elemento su cui c’è un aumento di attenzione tanto da includere tale supplemento sia in una prima fase formale dello schema sia come requisito. Si pone inoltre esplicitamente l’attenzione, in ognuna delle famiglie di requisiti del PCI DSS, sui ruoli e sulle responsabilità relativi alle attività in essa prescritte. Si introduce anche il concetto di analisi dei rischi mirata che, contrariamente all’attività di risk assessment aziendale tradizionale, si focalizza su un determinato numero di requisiti PCI DSS che permetteranno flessibilità sulla frequenza con cui svolgere alcuni controlli. Risulterà quindi possibile definire la periodicità di alcuni controlli, ora fissa, in funzione dell’attività di analisi dei rischi mirata svolta. Si pone maggiore attenzione anche agli attacchi di phishing e, più in generale, di social engineering e si incoraggia l’estensione dell’utilizzo di meccanismi di autenticazione a più fattori.

Si rafforza anche la gestione di tecnologie software e hardware non più supportate dal produttore, e quindi in “end-of-life”. Punti di accresciuta attenzione risultano essere anche l’utilizzo e la gestione di certificati e chiavi trusted, nonché l’implementazione di algoritmi di crittografia e protocolli di sicurezza forti. La pubblicazione della versione 4.0 del PCI DSS è attualmente prevista in modo generico per il 2021. Come già avvenuto con gli aggiornamenti precedenti, a partire da alcuni mesi dopo il rilascio, necessari per pubblicare i documenti ancillari, ci si attende un periodo di transizione di 18 mesi in cui sarà possibile certificare sia utilizzando la versione 4.0 sia utilizzando l’attuale 3.2.1, che quindi sarà ritirata nel 2022, lasciando il tempo per adottare tutti i nuovi requisiti, i più onerosi dei quali potrebbero anche avere delle date future dilazionate di 2 o 3 anni che ne regolano l’entrata in vigore.

Leggi anche:  In Italia mancano Ricerca & Innovazione in sicurezza cyber

Al momento, si può dire che nel suo complesso la struttura e i requisiti “core” del PCI DSS saranno mantenuti, non riportando quindi cambiamenti rivoluzionari. Per le organizzazioni che si dovranno conformare alla versione 4.0 del PCI DSS sarà sicuramente necessario allocare risorse per l’adeguamento ai nuovi requisiti, ma i cambiamenti prevedono contestualmente una maggiore libertà e una maggiore attenzione al concetto di rischio che potrà aiutare a rendere più efficace tali investimenti. Grazie anche alla più ampia apertura verso i feedback del mercato, i cambiamenti in corso di introduzione possono essere finora considerati positivi e potenzialmente utili da un punto di vista del miglioramento della sicurezza dei dati di pagamento e, più in generale, dell’intera organizzazione.

Fabio Guasconi comitato direttivo di CLUSIT e Beatrice Ridolfi PCI QSA di Bl4ckswan