Payment Card Industry Data Security Standard (Pci Dss): dietro la complessità del nome si cela in verità un concetto relativamente semplice. Si parla infatti dello standard di sicurezza delle informazioni utilizzate per gestire le carte di credito dei principali circuiti.
Uno standard amministrato dal Payment Card Industry Security Standards Council il cui utilizzo di fatto è passaggio obbligato per tutti i partner che intendono utilizzare i marchi dei circuiti più conosciuti. Se ne parla, perché siamo vicini alla scadenza di adeguamento alla versione del nuovo standard Pci Dss conformarsi al quale entro il 31 marzo del prossimo anno (2024) è fortemente consigliato .
Soprattutto se ne parla perché parliamo del più corposo aggiornamento conosciuto dal mercato dal lontano 2004 (quindi circa 20 anni fa). Per quella data la versione 3.2.1 non sarà più supportata dal Consiglio Pci. “La scadenza del Pci Dss v3.2.1 ]…[ si sta avvicinando rapidamente – spiega Lance Johnson, executive director del Pci Ssc –. Il Consiglio di Sicurezza dello standard Pci è impegnato a supportare le aziende a comprendere l’ultima versione del Pci Dss. Per raggiungere tale obiettivo ha creato un Resource Hub dedicato all’ultima versione dello standard con risorse indirizzate alle aziende per ottenere una migliore comprensione dello stesso. Cogliere la vera natura del Pci Dss v4.0 significa poter adottare le misure necessarie per raggiungere una transizione fluida ed efficiente”.
Di riferimento il Payment Security Report 2023, con gli insight di Verizon, quindi, come tool di riferimento per le realtà che desiderano semplificare le norme che regolano i pagamenti digitali. Nella sua prima edizione, del 2010, lo studio era denominato Verizon Pci Compliance Report 2010, da sempre comunque si basa su dati mondiali raccolti da valutatori di sicurezza, sotto il controllo di Verizon, e da altri collaboratori esterni, integrati con il confronto tra le regioni geografiche (Americhe, Emea e Apac). Il report esplora le variabili che determinano i risultati più o meno positivi ottenuti dalle aziende in termini di sicurezza sostenibile ed efficace nel controllo dei dati.
Sin dalle prime edizioni, il Psr ha seguito andamenti delle problematiche di compliance, non perdendo di vista il panorama della sicurezza dei pagamenti in evoluzione. Ora si tratta di tornare a gestire le aree critiche nella progettazione della sicurezza perché lo standard prevede diversi aggiornamenti e ben 64 nuovi requisiti. Le aziende pertanto si troveranno ad integrare la sicurezza dettata dal Pci Dss in iniziative più ampie di governance aziendale, gestione del rischio e compliance, ed avranno bisogno dei tool per l’attuale preparazione del programma.
Il report propone quindi modelli adattabili, indica i metodi di gestione più adeguati per ottemperare ai vincoli e fornisce l’analisi di processo per comprendere eventuali cause nel caso di scarse prestazioni del sistema.
Dalla modellizzazione delle best practice per Pci Dss 4.0 emergono alcuni insights chiave. Serve attenzione per fare in modo che gli schermi di sicurezza evolvano contestualmente ai cambiamenti dei requisiti Pci Dss (1) ed i principali metodi di gestione semplificano la complessità dei programmi, supportando così le aziende a contenere i costi e raggiungere il massimo con meno (2). Le aziende devono elaborare i sistemi di sicurezza per concentrarsi su ciò che conta di più e superare i vincoli più importanti (3) ed un progetto di gestione integrata dei programmi può essere applicato a quelli nuovi, migliorando notevolmente quelli esistenti (4). Ma l’insight più importante di tutti è che la riuscita di un progetto in termini di sicurezza dei dati e di compliance è frutto di una buona progettazione, e non certo imputabile al caso (5).
E’ vero anche che i requisiti di conformità sono spesso valutati semplicemente come complessità aggiuntive, oltre le difficoltà – già notevoli – legate alla protezione dei pagamenti digitali, con le capacità dei criminali che di anno in anno si fanno sempre più sfidanti.
“Fortunatamente – rassicura Kris Philipsen, managing director, Cybersecurity Consulting di Verizon – esistono metodi ]…[ efficaci per raggiungere la conformità alla sicurezza dei pagamenti, illustrati nel Payment Security Report di Verizon, che non solo contribuiscono a rendere i risultati del Pci Dss 4.0 prevedibili, ma consentono anche alle società di ottenere migliori prestazioni nella definizione della strategia di sicurezza”.
© RIPRODUZIONE RISERVATA
