Comprendere cosa sono (e cosa non è) considerati i dati delle carte di pagamento è un primo passo importante per comprendere come rispettare lo standard PCI DSS. In genere, la normativa si applica solo al numero di conto principale (PAN) di una carta di pagamento. Se altri elementi di dati, come il nome del titolare della carta, la data di scadenza e/o il codice di sicurezza sono presenti senza PAN, PCI DSS non si applica. Tuttavia, se questi altri elementi di dati vengono memorizzati, elaborati o trasmessi con il PAN o sono altrimenti presenti nel Cardholder Data Environment (CDE), devono essere protetti in conformità con i requisiti PCI DSS applicabili, come indicato nel sito web del PCI Security Standards Council. 

Quando il PAN viene archiviato, le normative PCI richiedono che sia illeggibile (FAQ PCI 1222) tramite crittografia, troncamento, tokenizzazione o hashing unidirezionale. Indipendentemente dal fatto che la scheda sia crittografata o tokenizzata, i requisiti PCI si applicano comunque al sistema che contiene il numero, poiché il PAN potrebbe essere annullato se la chiave di crittografia o la tabella di ricerca dei token viene compromessa. Tuttavia, se il numero viene troncato (non mascherato) in modo tale che il sistema memorizzi solo un massimo delle prime 6 cifre o solo le ultime 4 cifre del PAN, il numero non viene più considerato PAN (FAQ PCI 1091), eliminando la necessità affinché il sistema sia conforme ai requisiti PCI. 

In che modo Zendesk mi aiuta a soddisfare la conformità PCI?

Zendesk ha una funzione chiamata Campo ticket conforme allo standard PCI. Consente di inserire un numero di conto principale (PAN) in un campo ticket personalizzato nell’interfaccia agente Zendesk. Questo numero viene quindi rimosso fino alle ultime 4 cifre prima che i dati vengano inviati all’interfaccia utente. Questo soddisfa i requisiti di protezione delle carte di pagamento per la conformità PCI. Tieni presente che questa funzione conforme a PCI DSS si applica solo al prodotto Support. Per ulteriori informazioni sui controlli di sicurezza e privacy impiegati da Zendesk, inclusi quelli che aiutano a supportare la conformità PCI, consulta Zendesk PCI Compliant. 

Richiedi una copia dell’Attestation of Compliance (AoC) (in “Artefatti”)

Che cosa succede se non voglio che gli utenti finali inseriscano il PAN completo nella mia istanza Zendesk? 

Anche se consigliamo vivamente di inserire il PAN solo tramite il campo ticket conforme allo standard PCI per garantire la conformità agli standard PCI, esistono delle misure di mitigazione che puoi implementare per ridurre l’esposizione di questi dati se vengono inseriti al di fuori di questo campo dedicato. 

Mascheramento automatico

Zendesk ha una funzione chiamata “redazione automatica”. Dopo averlo abilitato nel Centro amministrativo, puoi usarlo per rimuovere i dati relativi alle nuove carte di pagamento dal momento dell’attivazione. Ciò consentirà al sistema di cercare numeri di lunghezza compresa tra 12 e 16 caratteri e di rimuoverli le prime 6 cifre e le ultime 4 cifre. Riducendo così le possibilità che i dati sensibili vengano condivisi o utilizzati in modo improprio. Supporta anche i ticket di messaggistica. Tieni presente che la rimozione automatica non si applica al Centro assistenza, a Zendesk Chat e ad altri prodotti Zendesk. 

Redazione manuale (con strumenti API)

Per usare Data Loss Prevention (DLP) e gli strumenti API, devi esportare i dati dei ticket Zendesk in un luogo sicuro. Per informazioni su come eseguire questa operazione, consulta il documento Esportazione dei dati dei ticket tramite CSV o XML. Quindi puoi usare l’ API incrementale per estrarre i ticket da un intervallo di date specifico o il Listing Comments API per estrarre i commenti dai ticket. Una volta isolati i dati necessari delle carte di pagamento, puoi applicare uno dei tanti strumenti open source disponibili per identificare dati sensibili come PAN. Con l’ APIdi rimozione, puoi rimuovere queste informazioni dai commenti dei ticket. 

Controlli di utilizzo e spazio di memorizzazione

Puoi anche ridurre al minimo l’esposizione dei dati sensibili dei titolari di account memorizzando i dati delle carte di pagamento solo quando è assolutamente necessario e come parte di una legittima esigenza aziendale. Per garantire la conformità allo standard PCI DSS, è opportuno evitare anche la condivisione di PAN non protette tramite email, messaggi istantanei, chat o altre comunicazioni. 

Allo stesso modo, PAN dovrebbe essere sempre illeggibile quando viene archiviato, inclusi percorsi di backup, registri e dispositivi portatili. È possibile usare anche la crittografia unidirezionale con hash, il troncamento che mostra solo le ultime quattro cifre di un PIN e metodi di controllo della memorizzazione simili di crittografia, mascheramento e/o troncamento. 

Come best practice generale per la sicurezza, dovresti anche addestrare i dipendenti a riconoscere e segnalare qualsiasi esposizione, utilizzo o distribuzione non conforme dei dati delle carte di pagamento all’interno del tuo sistema o nelle operazioni quotidiane. 

Come posso determinare se un'applicazione o un sistema rientra nell'ambito della conformità PCI?

Il sistema memorizza, trasmette o elabora i dati delle carte di pagamento? In tal caso, rientra nell’ambito di PCI. Ogni azienda ha la responsabilità di identificare i sistemi nel proprio ambiente a cui si applicano i requisiti PCI DSS. Quando si esegue questa valutazione, è importante ricordare che PCI non solo richiede che tutti i sistemi di base che memorizzano, trasmettono o elaborano i dati delle carte di pagamento rientrino nell’ambito di PCI, ma anche tutti i sistemi direttamente collegati a tali sistemi di base. L’ambito può essere esplorato seguendo i passaggi seguenti:

1. Innanzitutto, riconosce e documenta tutti i flussi di dati noti e i sistemi che dovrebbero trasmettere, elaborare e/o memorizzare i dati delle carte di pagamento. Questi sistemi costituiscono il CDE di base.
2. In secondo luogo, documenta tutti i componenti del sistema direttamente collegati all’ambiente di base. Questi sistemi sono anche considerati parte del CDE.
3. In terzo luogo, esplora i sistemi esterni al CDE che hai motivo di ritenere possano trasmettere, elaborare e/o memorizzare i dati delle carte di pagamento. Documenta quelli che trovi e traccia il loro percorso fino al CDE. Alcuni degli esempi più comuni possono includere sistemi email, help desk, repository HR, sistemi di reportistica finanziaria, fogli di calcolo aziendali, ecc.

Come posso rendere più gestibile la conformità PCI DSS?  

Per rendere più gestibile la conformità PCI DSS, è necessario ridurre l’ambito PCI complessivo. Rivedi il tuo CDE ed esamina qualsiasi interfaccia che trasmette, elabora o memorizza i dati delle carte di pagamento. Rispetta le best practice per la protezione dei dati che richiedono di acquisire e consumare solo dati sensibili critici per le tue operazioni. Chiediti quanto segue:

• I nostri processi aziendali richiedono l’uso di una carta di pagamento? Come stiamo usando il PAN?
• Il PAN completo viene memorizzato come numero di riferimento o viene usato per supportare altri processi aziendali (ad es. fatturazione automatica o storni di addebito)? Se stiamo usando il PAN completo come numero di riferimento, possiamo limitare l'uso e lo spazio di memorizzazione troncandolo?
• Abbiamo il controllo sul fatto che il numero di una carta entri o meno in un particolare sistema? Ad esempio, il sistema è associato a un modulo web, a un indirizzo email, a un helpdesko a un'altra interfaccia rivolta ai client? In tal caso, possiamo sviluppare un modo per rimuovere o rimuovere i dati quando entrano nel sistema?
• Esistono sistemi ausiliari che si collegano al CDE di cui non abbiamo davvero bisogno? Possiamo segmentare tali sistemi tramite regole firewall o persino rimuovere del tutto le interfacce?
• I nostri processi aziendali critici sono architettonicamente validi? Possiamo semplificare alcuni dei nostri processi e rimuovere i sistemi dall’ambito PCI?
• Stiamo memorizzando i dati delle carte di pagamento per motivi di praticità? Il caso d’uso dello storage è stato accettato e compreso chiaramente dalle parti interessate interne oppure viene archiviato in preparazione per esigenze future che potrebbero presentarsi o meno?
• L’accesso al PAN completo è un caso limite o una pratica comune? La nostra architettura è troppo adatta a questi casi limite?

La riduzione dell’ambito PCI ha il vantaggio di ridurre il numero di sistemi a cui si applicano i requisiti PCI, di ridurre i costi del processo di verifica e di limitare il numero di superfici di attacco nel tuo ambiente. A seconda dell’esperienza, delle risorse e del tempo a disposizione, potrebbe essere opportuno coinvolgere un esperto PCI che ti aiuti a definire l’ambito.

 

Avviso legale

 

Glossario dei termini

Acquirente – Denominata anche “banca commerciale”, “banca acquirente” o “istituto finanziario acquirente”. Entità che avvia e mantiene relazioni con i commercianti per l’accettazione delle carte di pagamento. L’acquirente è in genere responsabile del monitoraggio della conformità PCI con l’account del commerciante.

AoC – Acronimo di Attestation of Compliance. Questo è il report di verifica che mostra se e come un’organizzazione è conforme allo standard PCI.

Dati dei titolari di carta – I dati dei titolari di carta sono costituiti almeno dal numero di conto principale (PAN) completo. I dati del titolare della carta possono anche apparire sotto forma di PAN completo più uno dei seguenti: nome del titolare della carta, data di scadenza e/o codice del servizio.

CDE – Ambiente dati dei titolari di carta: le persone, i processi e la tecnologia che memorizzano, elaborano o trasmettono i dati dei titolari di carta o i dati sensibili di autenticazione.

DLP – Prevenzione della perdita di dati. Il software di prevenzione della perdita di dati è progettato per rilevare potenziali eventi di violazione o perdita di dati.

Crittografia – Processo di conversione delle informazioni in un formato incomprensibile, ad eccezione dei titolari di una specifica chiave crittografica. L’uso della crittografia protegge le informazioni tra il processo di crittografia e il processo di decrittografia (l’inverso della crittografia) dalla divulgazione non autorizzata.

Assegno Luhn – Conosciuto anche come algoritmo “Mod 10”, è una semplice formula di checksum usata per convalidare una varietà di numeri di identificazione, come i numeri di carta di credito. La maggior parte delle carte di credito usa l’algoritmo come metodo semplice per distinguere i numeri validi da quelli digitati in modo errato o altrimenti errati.

Mascheramento – Un metodo per nascondere un segmento di dati durante la visualizzazione o la stampa. Il mascheramento viene usato quando non è necessario per l’azienda visualizzare l’intero PAN. Il mascheramento si riferisce alla protezione del PAN durante la visualizzazione o la stampa.

Campo ticket conforme a PCI – Questo campo è progettato per accettare i numeri di carta di credito dagli agenti e rimuoverà automaticamente il numero della carta di credito fino alle ultime 4 cifre prima che i dati vengano inviati alla piattaforma Zendesk. Questo campo è obbligatorio per poter beneficiare di AoC di Zendesk.

PCI-SSC – Acronimo di Payment Card Industry Security Standards Council. Questo consiglio è stato istituito nel 2006 dai cinque marchi di carte di credito (Visa, MasterCard, American Express, Discover, JCB).

PCI-DSS – Lo standard di sicurezza dei dati del settore delle carte di pagamento. Il PCI SSC ha creato uno standard unificato a cui sarebbero soggetti tutti i commercianti e i fornitori di servizi.

PAN – Numero di conto principale. Detto anche “numero di conto”. Numero univoco della carta di pagamento (in genere per le carte di credito o di debito) che identifica l’emittente e il particolare titolare della carta.

Fornitore di servizi – Entità aziendale (non emittente di carte di pagamento) direttamente coinvolta nell’elaborazione, memorizzazione o trasmissione dei dati dei titolari di carta per conto di un’altra entità. Sono incluse anche le aziende che forniscono servizi che controllano o potrebbero influire sulla sicurezza dei dati dei titolari di carta. Gli esempi includono provider di servizi gestiti che forniscono firewall gestiti, IDS e altri servizi, nonché provider di hosting e altre entità.

QSA – Valutatore di sicurezza qualificato. Il PCI SSC ha aziende certificate per eseguire valutazioni PCI e assistere con la convalida PCI; la designazione è un’azienda QSA o, allo stesso modo, una persona in un’azienda QSA può essere certificata come QSA individuale.

Elimina – Il processo di rimozione di informazioni sensibili, come PAN, dove non sono necessarie.

SAQ – Questionario di autovalutazione. Un’entità che convalida la conformità PCI sarà sottoposta a una valutazione esterna da parte di un QSA oppure completerà un questionario di verifica e lo invierà ai brand delle carte o alla banca d’affari.

Tokenize – Il processo di suddivisione di un flusso di testo significativo, come il numero di carta di credito, in elementi di dati chiamati token che rappresentano i dati effettivi, ma da soli sono privi di significato. La tokenizzazione è un metodo per rimuovere i dati delle carte di credito dai sistemi o dai database, riducendo così l’ambito del CDE.

Troncamento – Metodo per rendere illeggibile l’intero PAN rimuovendo in modo permanente un segmento di dati PAN. Il troncamento si riferisce alla protezione del PAN quando è memorizzato in file, database, ecc.