Il primo passo importante per comprendere come rispettare lo standard PCI DSS è quello che sono considerati dati delle carte di pagamento e cosa non sono considerati. In genere, la regolamentazione si applica solo al numero di conto principale (PAN) di una carta di pagamento. Se altri dati, come il nome del titolare della carta, la data di scadenza e/o il codice di sicurezza sono presenti senza PAN, lo standard PCI DSS non viene applicato. Tuttavia, se questi altri elementi di dati sono memorizzati, elaborati o trasmessi con il PAN o sono altrimenti presenti nel Cardholder Data Environment (CDE), devono essere protetti in conformità con i requisiti PCI DSS applicabili, come indicato sul sito web del PCI Security Standards Council.
Quando il PAN viene memorizzato, le normative PCI richiedono che sia illeggibile (FAQ PCI 1222) tramite crittografia, troncamento, tokenizzazione o hashing unidirezionale. Indipendentemente dal fatto che la carta sia crittografata o tokenizzata, i requisiti PCI si applicano comunque al sistema che contiene il numero, poiché il PAN potrebbe essere annullato se la chiave di crittografia o la tabella di ricerca dei token viene compromessa. Tuttavia, se il numero viene troncato (non mascherato) in modo tale che il sistema memorizzi solo le prime 6 cifre o solo le ultime 4 cifre del PAN, il numero non è più considerato PAN (PCI FAQ 1091), eliminando la necessità affinché il sistema sia conforme ai requisiti PCI.
In che modo Zendesk mi aiuta a soddisfare la conformità PCI?
Zendesk dispone di una funzione chiamata PCI Compliant Ticket Field. Ti permette di inserire un numero di conto principale (PAN) in un campo ticket personalizzato nell’interfaccia agente di Zendesk. Questo numero viene quindi rimosso in base alle ultime 4 cifre prima che i dati vengano inviati all'interfaccia utente. Questo soddisfa i requisiti di protezione delle carte di pagamento per la conformità PCI. Tieni presente che questa funzione conforme a PCI DSS si applica solo al prodotto Support. Per maggiori informazioni sui controlli di sicurezza e privacy usati da Zendesk, inclusi quelli che aiutano a supportare la conformità PCI, consulta Zendesk PCI Compliant.
Richiedi una copia dell’attestato di conformità (AoC) (in Risorse)
Che cosa succede se non voglio che gli utenti finali inseriscano il PAN completo nella mia istanza Zendesk?
Sebbene sia consigliabile inserire il PAN solo tramite il campo ticket conforme allo standard PCI per garantire la conformità agli standard PCI, esistono soluzioni che puoi implementare per ridurre l'esposizione di questi dati se dovessero essere inseriti al di fuori di questo campo dedicato.
Mascheramento automatico
Zendesk ha una funzione chiamata “rimozione automatica”. Dopo averlo abilitato nel Centro amministrativo, puoi usarlo per mascherare i dati relativi alle nuove carte di pagamento dal momento dell’attivazione. Ciò consentirà al sistema di cercare numeri di lunghezza compresa tra 12 e 16 caratteri e di rimuoverli le prime 6 cifre e le ultime 4 cifre. Riducendo in tal modo le possibilità di condivisione eccessiva o uso improprio dei dati sensibili. Supporta anche i ticket di messaggistica. Tieni presente che la rimozione automatica non si applica al Centro assistenza, a Zendesk Chat e ad altri prodotti Zendesk.
Mascheramento manuale (con Strumenti API)
Per usare Data Loss Prevention (DLP) e gli strumenti API, devi esportare i dati dei ticket Zendesk in un luogo sicuro. Per informazioni su come procedere, consulta il documento Esportazione dei dati dei ticket in formato CSV o XML. Dopodiché, puoi usare l’ API incrementale per estrarre i ticket da un intervallo di date specifico o il Listing Comments API per estrarre i commenti dai ticket. Una volta isolati i dati necessari relativi alle carte di pagamento, puoi applicare uno dei tanti strumenti open source disponibili per identificare i dati sensibili come il PAN. Con l’ APIdi rimozione, puoi rimuovere queste informazioni dai commenti dei ticket.
Controlli di utilizzo e memorizzazione
Puoi anche ridurre al minimo la visibilità dei dati sensibili dei titolari di account memorizzando i dati delle carte di pagamento solo quando è assolutamente necessario e come parte di una legittima esigenza aziendale. Per garantire la conformità allo standard PCI DSS, è consigliabile evitare anche la condivisione di PAN non protette tramite email, messaggi istantanei, chat o altro tipo di comunicazione.
Allo stesso modo, il PAN dovrebbe essere sempre illeggibile quando viene memorizzato, inclusi percorsi di backup, registri e dispositivi portatili. Si possono usare anche crittografia unidirezionale con hash, troncamento che mostra solo le ultime quattro cifre di un PIN e metodi di crittografia, mascheramento e/o troncamento simili per il controllo della memorizzazione.
Come prassi ottimale per la sicurezza, dovresti anche addestrare i dipendenti a riconoscere e segnalare qualsiasi esposizione, utilizzo o distribuzione non conforme dei dati delle carte di pagamento all’interno del tuo sistema o nelle operazioni quotidiane.
Come posso determinare se un'applicazione o un sistema rientra nell'ambito della conformità PCI?
Il sistema memorizza, trasmette o elabora i dati delle carte di pagamento? In tal caso, rientra nell’ambito di PCI. Ogni azienda ha la responsabilità di identificare i sistemi nel proprio ambiente a cui si applicano i requisiti PCI DSS. Durante questa valutazione, è importante ricordare che lo standard PCI non solo richiede che tutti i sistemi di base che memorizzano, trasmettono o elaborano i dati delle carte di pagamento rientrino nell’ambito di PCI, ma anche tutti i sistemi direttamente collegati a tali sistemi di base. L’ambito può essere esplorato procedendo nel seguente modo:
- Innanzitutto, bisogna riconoscere e documentare tutti i flussi di dati noti e i sistemi che dovrebbero trasmettere, elaborare e/o memorizzare i dati delle carte di pagamento. Questi sistemi costituiscono il CDE di base.
- In secondo luogo, documenta tutti i componenti del sistema direttamente connessi all’ambiente di base. Questi sistemi sono anche considerati parte del CDE.
- In terzo luogo, esplora i sistemi esterni al CDE che hai motivo di ritenere possano trasmettere, elaborare e/o memorizzare i dati delle carte di pagamento. Documenta quelli trovati e traccia il loro percorso fino al CDE. Alcuni degli esempi più comuni possono includere sistemi email, help desk, repository HR, sistemi di rendicontazione finanziaria, fogli di calcolo aziendali, ecc.
Nota: Le eccezioni di archiviazione includono email con codifica MIME e campi ticket personalizzati nei ticket sospesi, ma prevediamo che presto verranno rilasciate funzionalità per rimuovere queste due eccezioni.
Come posso rendere più gestibile la conformità PCI DSS?
Per semplificare la gestione della conformità PCI DSS, è necessario ridurre l'ambito PCI generale. Verifica il tuo CDE ed esamina qualsiasi interfaccia che trasmette, elabora o memorizza i dati delle carte di pagamento. Rispetta le best practice per la protezione dei dati che richiedono di acquisire e utilizzare solo i dati sensibili critici per le tue operazioni. Chiediti quanto segue:
- Le nostre procedure aziendali richiedono l’uso di una carta di pagamento? Come stiamo usando il PAN?
- Stiamo memorizzando il PAN completo come numero di riferimento o viene usato per supportare altri processi aziendali (ad esempio, fatturazione automatica o storni di addebito)? Se stiamo usando il PAN completo come numero di riferimento, possiamo limitarne l'uso e l'archiviazione troncandolo?
- Abbiamo il controllo sul fatto che il numero di una carta debba entrare o meno in un particolare sistema? Ad esempio, il sistema è associato a un modulo web, un'email, un helpdesko un'altra interfaccia rivolta ai client? In caso affermativo, possiamo sviluppare un modo per rimuovere o rimuovere i dati quando entrano nel sistema?
- Esistono sistemi ausiliari che non sono realmente necessari per connettersi al CDE? Possiamo segmentare tali sistemi tramite regole firewall o persino rimuovere del tutto le interfacce?
- I nostri processi aziendali critici sono architettonicamente validi? Possiamo semplificare alcuni dei nostri processi e rimuovere i sistemi dall’ambito PCI?
- Memorizziamo i dati delle carte di pagamento per motivi di comodità? Il caso d'uso dello spazio di memorizzazione viene concordato e compreso chiaramente dalle parti interessate interne oppure viene memorizzato in vista di esigenze future che potrebbero presentarsi o meno?
- L’accesso al PAN completo è un caso limite o una prassi comune? La nostra architettura è troppo adatta a questi casi limite?
La riduzione dell'ambito PCI ha il vantaggio di ridurre il numero di sistemi a cui si applicano i requisiti PCI, di ridurre i costi del processo di verifica e di limitare il numero di superfici di attacco nel tuo ambiente. A seconda dell’esperienza, delle risorse e del tempo a disposizione, può essere opportuno coinvolgere un esperto PCI che ti aiuti a definire l’ambito.
Nota legale
Zendesk mantiene un Attestato di conformità al settore delle carte di pagamento (“AoC”) per gli abbonati che usano il campo carta di credito solo per i servizi di help desk e centro assistenza Zendesk e non include altri servizi o prodotti offerti da Zendesk. L’AoC dimostra la conformità di Zendesk allo standard di sicurezza dei dati del settore delle carte di pagamento ("PCI DSS") versione 3.1, come formulato dal Consiglio per gli standard di sicurezza del settore delle carte di pagamento. Gli abbonati Zendesk che hanno un piano di abbonamento Enterprise possono trarre vantaggio dal controllo di sicurezza di Zendesk seguendo le procedure descritte in questo articolo. In base alle procedure descritte in questo articolo, potrebbero essere necessari fino a 5 giorni lavorativi prima che l'account Zendesk venga spostato in un ambiente conforme allo standard PCI Zendesk.
Questo articolo non deve sostituire la consulenza di un professionista abilitato o autorizzato a esercitare nella tua giurisdizione. È necessario consultare sempre un professionista adeguatamente qualificato in merito a qualsiasi problema legale o di conformità. Nessuna disposizione in questo articolo costituisce una consulenza legale.
Glossario
Acquirente – Denominata anche “banca d’affari”, “banca acquirente” o “istituto finanziario acquirente”. Entità che avvia e mantiene relazioni con i commercianti per l’accettazione di carte di pagamento. In genere, l'acquirente è responsabile del monitoraggio della conformità PCI per l'account del proprio commerciante.
AoC – Acronimo di Attestation of Compliance. Questo è il report di verifica che mostra se e come un’organizzazione è conforme allo standard PCI.
Dati dei titolari di carta – I dati dei titolari di carta sono costituiti almeno dal numero completo di conto principale (PAN). I dati dei titolari di carta possono anche apparire sotto forma del PAN completo più uno dei seguenti: nome del titolare, data di scadenza e/o codice del servizio.
CDE – Ambiente dati dei titolari di carta: le persone, i processi e la tecnologia che memorizzano, elaborano o trasmettono i dati dei titolari di carta o i dati sensibili di autenticazione.
DLP – Prevenzione della perdita di dati. Il software di prevenzione della perdita di dati è progettato per rilevare potenziali eventi di violazione o perdita di dati.
Crittografia – Processo di conversione delle informazioni in una forma incomprensibile, tranne che per i titolari di una specifica chiave crittografica. L’uso della crittografia protegge le informazioni tra il processo di crittografia e il processo di decrittografia (l’inverso della crittografia) dalla divulgazione non autorizzata.
Assegno Luhn – Noto anche come algoritmo “Mod 10”, è una semplice formula di checksum usata per convalidare una varietà di numeri di identificazione, come i numeri di carta di credito. La maggior parte delle carte di credito usa l’algoritmo come metodo semplice per distinguere i numeri validi da quelli digitati in modo errato.
Mascheramento – Un metodo per nascondere un segmento di dati durante la visualizzazione o la stampa. Il mascheramento viene usato quando non è necessario che l’azienda visualizzi l’intero PAN. Il mascheramento si riferisce alla protezione del PAN durante la visualizzazione o la stampa.
Campo ticket conforme a PCI – Questo campo è progettato per accettare numeri di carta di credito dagli agenti e rimuove automaticamente il numero di carta di credito fino alle ultime 4 cifre prima che i dati vengano inviati alla piattaforma Zendesk. Questo campo è obbligatorio per poter usufruire di AoC di Zendesk.
PCI-SSC – Acronimo di Payment Card Industry Security Standards Council. Questo consiglio è stato creato nel 2006 dai cinque brand di carte di credito (Visa, MasterCard, American Express, Discover, JCB).
PCI-DSS – Lo standard di sicurezza dei dati del settore delle carte di pagamento. Il PCI SSC ha creato uno standard unificato a cui tutti i commercianti e i fornitori di servizi sarebbero stati soggetti.
PAN – Numero di conto principale. Detto anche “numero di conto”. Numero univoco della carta di pagamento (in genere per le carte di credito o di debito) che identifica l’emittente e il particolare titolare della carta.
Fornitore di servizi – Soggetto aziendale (non emittente di carte di pagamento) direttamente coinvolto nell'elaborazione, memorizzazione o trasmissione dei dati dei titolari di carta per conto di un'altra entità. Sono incluse anche le aziende che forniscono servizi che controllano o potrebbero influire sulla sicurezza dei dati dei titolari di carta. Ad esempio, provider di servizi gestiti che forniscono firewall gestiti, IDS e altri servizi, nonché provider di hosting e altre entità.
QSA – Valutatore della sicurezza qualificato. Il PCI SSC ha aziende certificate per eseguire valutazioni PCI e assistere con la convalida PCI; la designazione è un’azienda QSA, o in modo simile una persona presso un’azienda QSA può essere certificata come QSA individuale.
Maschera – Il processo di rimozione di informazioni sensibili, come il PAN, dove non sono necessarie.
SAQ – Questionario di autovalutazione. Un’entità che convalida la conformità PCI sarà sottoposta a una valutazione esterna da parte di un QSA oppure completerà un questionario di verifica da inviare ai brand delle carte o alla rispettiva banca d’affari.
Tokenize – Il processo di scomposizione di un flusso di testo significativo, come il numero di carta di credito, in elementi di dati chiamati token che rappresentano i dati effettivi, ma che da soli sono privi di significato. La tokenizzazione è un metodo per rimuovere i dati delle carte di credito da sistemi o database, riducendo così l’ambito del CDE.
Troncamento – Metodo per rendere illeggibile l’intero PAN rimuovendo in modo permanente un segmento di dati PAN. Il troncamento si riferisce alla protezione della PAN quando è memorizzata in file, database, ecc.
Avvertenza sulla traduzione: questo articolo è stato tradotto usando un software di traduzione automatizzata per fornire una comprensione di base del contenuto. È stato fatto tutto il possibile per fornire una traduzione accurata, tuttavia Zendesk non garantisce l'accuratezza della traduzione.
Per qualsiasi dubbio sull'accuratezza delle informazioni contenute nell'articolo tradotto, fai riferimento alla versione inglese dell'articolo come versione ufficiale.