Gli standard di sicurezza dei dati (DSS) di Payment Card Industry (PCI) sono un insieme di linee guida di conformità che proteggono i dati riservati dei titolari di carta. Ecco un elenco di esempi dei tipi di domande incluse nel questionario sulla conformità PCI DSS per aiutarti a comprendere meglio le azioni richieste per mantenere la conformità PCI.

Autovalutazione PCI DSS

Il  questionario sulla conformità PCI DSS (Clicca qui per scaricarlo) è costituito da 12 requisiti di sicurezza , ciascuno destinato a un’area specifica di sicurezza. Secondo il sito Web ufficiale PCI DSS, “Il commerciante è responsabile di assicurare che ogni sezione sia completata dalle parti interessate, a seconda dei casi. Contattare l’acquirente (banca commerciale) o i marchi di pagamento per determinare le procedure di segnalazione e di presentazione.”

Un’azienda deve essere in grado di rispondere sì o non applicabile a tutte le domande del questionario per essere considerate conformi PCI DSS. Alcuni dei requisiti coperti dal questionario PCI DSS includono:

 

1. Installare e gestire una configurazione del firewall

  • Esiste un processo formale per approvare e testare tutte le connessioni di rete e le modifiche alle configurazioni del firewall e del router?
  • L’attuale diagramma di rete è coerente con gli standard di configurazione del firewall?
  • Il traffico in entrata e in uscita è limitato a quello necessario per l’ambiente dei dati dei titolari di carta?
  • L’accesso pubblico diretto è vietato tra Internet e qualsiasi componente di sistema nell’ambiente dei dati dei titolari di carta?
  • I componenti di sistema che memorizzano i dati dei titolari di carta sono collocati in una zona di rete interna, separati dalla DMZ e da altre reti non attendibili?
  • Le politiche di sicurezza e le procedure operative per la gestione dei firewall sono documentate, note a tutte le parti interessate e attualmente in uso?

2. Non utilizzare i valori predefiniti forniti dal fornitore per le password di sistema

  • Gli account predefiniti non necessari vengono rimossi prima di installare un sistema sulla rete?
  • Le chiavi di crittografia vengono modificate per impostazione predefinita durante l’installazione?
  • Le chiavi di crittografia vengono modificate ogni volta che una persona con una conoscenza delle chiavi cambia posizione o lascia l’azienda?
  • Gli standard di configurazione del sistema vengono applicati quando vengono configurati nuovi sistemi?

3. Proteggi i dati dei titolari di carta memorizzati

  • Esistono processi definiti per l’eliminazione sicura dei dati dei titolari di carta?
  • Tutti i dati memorizzati soddisfano i requisiti dei criteri di conservazione dei dati?
  • Il PAN è mascherato quando viene visualizzato?
  • Le chiavi crittografiche sono archiviate nel minor numero possibile di posizioni?

4. Crittografare la trasmissione dei dati dei titolari di carta attraverso reti pubbliche

  • Sono accettate solo chiavi o certificati attendibili?
  • I protocolli di sicurezza implementati utilizzano solo configurazioni sicure?
  • I PAN sono resi illeggibili quando vengono inviati tramite le tecnologie di messaggistica dell’utente finale?

5. Proteggi tutti i sistemi dal malware e aggiorna regolarmente i programmi antivirus

  • Gli attuali programmi antivirus rilevano, rimuovono e proteggono efficacemente da virus, worm, spyware, trojan, rootkit e adware?
  • I software antivirus vengono aggiornati regolarmente?
  • L’organizzazione conserva i registri di controllo e conserva tali registri conformemente ai requisiti PCI DSS?
  • Tutti i meccanismi antivirus sono attivi?

6. Sviluppare e mantenere sistemi e applicazioni sicuri

  • Esistono patch di sicurezza fornite dal fornitore per proteggere dalle vulnerabilità note?
  • La sicurezza delle informazioni è inclusa durante tutto il ciclo di sviluppo del software?
  • I processi sono basati su standard di settore e migliori pratiche?

7. Limitare l’accesso ai dati dei titolari di carta in base alle necessità aziendali

  • L’accesso ai dati dei titolari di carta è limitato a coloro i cui lavori richiedono tale accesso?
  • Le esigenze di accesso per ciascun ruolo sono chiaramente definite?
  • I sistemi di controllo accessi hanno un’impostazione predefinita nega tutto?

8. Identificare e autenticare l’accesso ai componenti di sistema

  • A tutti gli utenti viene assegnato un ID univoco?
  • L’accesso per gli utenti terminati viene rimosso immediatamente?
  • Una volta bloccato un account utente, la durata del blocco è impostata su un minimo di 30 minuti?

9. Limitare l’accesso fisico ai dati dei titolari di carta

  • L’accesso fisico all’ambiente dei dati dei titolari di carta è protetto dai controlli di accesso alle strutture?
  • Le videocamere sono protette dalla manomissione?
  • I materiali cartacei vengono distrutti in modo che i dati non possano essere ricostruiti?

10. Traccia e monitora tutti gli accessi alle risorse di rete e ai dati dei titolari di carta

  • Gli audit trail sono abilitati?
  • I dock e gli orari critici del sistema sono sincronizzati tramite la tecnologia di sincronizzazione dell’ora?
  • Gli audit trail sono protetti per limitare il rischio di alterazioni?

11. Testare regolarmente i sistemi e i processi di sicurezza

  • I processi rilevano e identificano punti di accesso wireless sia autorizzati che non autorizzati?
  • Le scansioni di vulnerabilità interne vengono eseguite su base trimestrale?
  • Le vulnerabilità durante i test di penetrazione sono state corrette?

12. Mantenere una politica che affronti la sicurezza delle informazioni per tutto il personale

  • Una politica di sicurezza è mantenuta e diffusa a tutto il personale interessato?
  • Una valutazione del rischio è attuata su base annuale?
  • La politica e le procedure di sicurezza definiscono chiaramente le responsabilità di sicurezza delle informazioni per tutto il personale?
  • Il personale è formato a noleggio e almeno una volta l’anno?

Questa è solo una panoramica del questionario ufficiale sulla conformità PCI DSS. CLICCA QUI per leggere il questionario sulla conformità PCI DSS nella sua interezza.

 

Per ulteriori informazioni sulla conformità PCI, visitare il sito Web del PCI Security Standard Council

SolarWinds MSP garantisce la conformità PCI DSS

SolarWinds MSP RMM la suite di gestione remota e management as a service contribuisce a garantire la conformità PCI DSS semplificando il processo di sicurezza in tutti i dipartimenti di un’organizzazione. Con SolarWinds MSP, tutte le trasmissioni sono crittografate, gli utenti possono abilitare la whitelisting IP e l’autenticazione a due fattori, tutte le attività dell’applicazione vengono registrate e nessun sistema è accessibile senza un ID utente e una password univoci.

Se sei un MSP (Managed Service Provider) o vuoi conoscere una soluzione di Servizi Gestiti scopri la suite SolarWinds MSP RMM, (CLICCA QUI) e richiedi una prova gratuita di 30 giorni senza impegno .

———-

Fonte: Solarwinds MSP BLOG & Pcisecuritystandards.org: https://www.pcisecuritystandards.org/documents/SAQ_D_v3_Merchant.pdf

TRADUZIONE . N4B SRL Distributore Autorizzato Solarwinds MSP