PCI DSS.

PCI DSS è il Payment Card Industry Data Security Standard. Obbligatorio per chiunque memorizzi, elabori o trasmetta dati dei titolari di carta. La versione 4.0.1 è la revisione corrente, pienamente obbligatoria dal 31 marzo 2025. La riduzione dello scope (tokenizzazione, segmentazione) è la leva su cui puntare; la conformità è binaria, ma tutto dipende da quanto si riesce a ridurre lo scope.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyAudit & complianceAll entries

Il punto di vista di Cyber Academy

PCI DSS è il Payment Card Industry Data Security Standard. Obbligatorio per chiunque memorizzi, elabori o trasmetta dati dei titolari di carta. La versione 4.0.1 è la revisione corrente, pienamente obbligatoria dal 31 marzo 2025. La riduzione dello scope (tokenizzazione, segmentazione) è la leva su cui puntare; la conformità è binaria, ma tutto dipende da quanto si riesce a ridurre lo scope.

Cosa disciplina realmente PCI DSS

PCI DSS è la base di sicurezza imposta dai principali circuiti di carte di pagamento a ogni organizzazione che memorizza, elabora o trasmette dati dei titolari di carta. Non è una legge né una regolamentazione governativa. È un requisito contrattuale, applicato attraverso le banche acquirer e i circuiti di carte che si collocano al di sopra di esse. Se gestisci un numero di conto primario, lo standard si applica a te, che tu sia un retailer globale o un piccolo negozio di e-commerce con un'unica pagina di checkout.

Lo standard è organizzato attorno a un insieme di obiettivi di controllo che coprono persone, processi e tecnologie a contatto con i dati dei titolari di carta: costruire e mantenere una rete sicura, proteggere i dati di conto memorizzati, cifrare la trasmissione, gestire le vulnerabilità, limitare l'accesso secondo il principio della necessità di sapere, monitorare e registrare, e mantenere una politica scritta di sicurezza delle informazioni. Ciascun obiettivo si scompone in requisiti concreti e verificabili, ed è per questo che PCI DSS si legge più come una lista di controllo di audit che come un quadro basato su principi quale ISO 27001.

Il perimetro è tutto

La decisione più importante per il professionista non è come superare la valutazione, ma come ridurre ciò che viene valutato. Tutto ciò che memorizza, elabora o trasmette dati dei titolari di carta, oltre a qualsiasi elemento ad esso connesso, rientra nell'ambiente dei dati dei titolari di carta (CDE). Più ampio è il CDE, più sistemi devono soddisfare ogni requisito e più la valutazione diventa gravosa e costosa.

È qui che la tokenizzazione, la segmentazione della rete e l'esternalizzazione verso fornitori di pagamento conformi dimostrano il loro valore. Sostituendo i numeri di carta con token, isolando il CDE dietro firewall e spostando l'effettiva acquisizione della carta su una pagina ospitata o su un processore di terze parti, rimuovi interamente i sistemi dal perimetro. Un ambiente ben segmentato può ridurre un parco sterminato a una manciata di componenti che richiedono una validazione completa.

Come funziona la validazione nella pratica

Il modo in cui dimostri la conformità dipende dal volume delle transazioni e da come accetti i pagamenti. I commercianti più piccoli compilano in genere un questionario di autovalutazione (SAQ), scegliendo la versione corrispondente al proprio canale di accettazione. I commercianti e i fornitori di servizi di maggiori dimensioni si sottopongono a una valutazione formale da parte di un Qualified Security Assessor (QSA), che produce un Report on Compliance. La scansione della rete da parte di un Approved Scanning Vendor e la fornitura di evidenze trimestrali sono obblighi comuni a tutti i livelli.

La revisione attuale, la versione 4.0.1, va oltre la semplice lista di controllo. Accanto all'«approccio definito» prescrittivo, introduce un «approccio personalizzato» che consente alle organizzazioni mature di soddisfare un obiettivo di controllo mediante controlli da esse progettati, a condizione che possano documentare e dimostrare che l'obiettivo è raggiunto. Riformula inoltre la conformità come uno stato continuo anziché un'istantanea annuale, con diversi requisiti che impongono esplicitamente un monitoraggio integrato nelle operazioni ordinarie.

Come si colloca rispetto ad altri standard

I team confondono spesso PCI DSS con ISO 27001. Si sovrappongono ma rispondono a domande diverse. ISO 27001 certifica che gestisci un sistema di gestione della sicurezza delle informazioni; PCI DSS convalida che un insieme di controlli specifico e prescritto protegge i dati dei titolari di carta. Uno è una certificazione di sistema di gestione il cui perimetro definisci tu stesso; l'altro è un insieme di controlli fisso imposto da un organismo di settore esterno. Gestire un SGSI ISO 27001 ti offre un'impalcatura di governance che facilita la produzione delle evidenze PCI, ma non sostituisce i requisiti specifici per i dati delle carte.

PCI DSS a confronto con ISO 27001
DimensionePCI DSSISO 27001
NaturaStandard contrattuale di settoreStandard internazionale certificabile
Imposto daI circuiti di carte tramite le banche acquirerAdottato volontariamente dall'organizzazione
PerimetroAmbiente dei dati dei titolari di carta (focus fisso)Ciò che l'organizzazione definisce
Insieme di controlliPrescritto e verificabileGuidato dal rischio, selezionato dall'organizzazione
EsitoAttestation / Report on ComplianceCertificato accreditato

Frequently asked questions

01PCI DSS è un obbligo di legge?

No. PCI DSS è uno standard contrattuale stabilito dai circuiti di carte di pagamento e applicato attraverso le banche acquirer, non una legge. Detto questo, non rispettarlo può comportare sanzioni, commissioni di transazione più elevate o la perdita della capacità di accettare carte, per cui nella pratica funziona come un obbligo.

02Affidarsi a un processore di pagamento di terze parti ci rende automaticamente conformi?

Non automaticamente, ma riduce drasticamente il tuo perimetro. Esternalizzare l'acquisizione delle carte a una pagina ospitata o a un processore conforme rimuove la maggior parte dei dati delle carte dai tuoi sistemi, lasciandoti un questionario di autovalutazione molto più breve. Resti responsabile delle parti che ancora gestisci.

03Cosa è cambiato con la versione 4.0.1?

È diventata pienamente obbligatoria il 31 March 2025, sostituendo la revisione precedente. Aggiunge un approccio personalizzato accanto ai controlli prescrittivi e pone l'accento su una conformità continua, integrata nelle operazioni ordinarie, anziché su una valutazione annuale.

04Come riduciamo il perimetro PCI DSS?

Attraverso la tokenizzazione, la segmentazione della rete e l'esternalizzazione dell'acquisizione delle carte. Sostituisci i numeri di carta memorizzati con token, isola l'ambiente dei dati dei titolari di carta dietro firewall e lascia che un fornitore conforme gestisca gli effettivi campi di pagamento, in modo che meno sistemi rientrino nella valutazione.

05I piccoli commercianti hanno bisogno di un QSA?

Di solito no. I commercianti a basso volume in genere si autocertificano con un questionario di autovalutazione, mentre i commercianti e i fornitori di servizi di maggiori dimensioni necessitano di un Qualified Security Assessor per produrre un Report on Compliance. La tua banca acquirer conferma quale percorso di validazione si applica.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.