Lo Standard di sicurezza per i dati delle applicazioni di pagamento (PA-DSS) svolge un ruolo fondamentale nella sicurezza dei pagamenti. Garantendo la sicurezza del trattamento dei dati dei titolari di carta durante le transazioni, il PA-DSS stabilisce gli standard per i fornitori di software e altri soggetti coinvolti nel processo di pagamento. Capire cos’รจ il PA-DSS e cosa richiede per la conformitร รจ essenziale per la gestione della conformitร delle organizzazioni.
Definizione di PA-DSS
Lo Standard di sicurezza per i dati delle applicazioni di pagamento (PA-DSS) รจ un insieme di standard di sicurezza globali progettati per assistere i fornitori di software nello sviluppo di applicazioni di pagamento sicure. Queste applicazioni non memorizzano dati per i quali esiste un divieto di memorizzazione, come i dati completi della banda magnetica, del CVV2 o del PIN, e garantiscono che il loro software sia conforme agli standard di sicurezza dei dati dell’industria delle carte di pagamento (PCI-DSS).
Che cos’รจ il PCI-DSS?
Lo Standard di sicurezza per i dati dell’industria delle carte di pagamento (PCI-DSS) รจ fondamentale in quanto stabilisce i parametri di riferimento per la protezione dei dati dei titolari di carta in tutto il mondo. La conformitร PCI aiuta a prevenire le violazioni dei dati e riduce il rischio di frodi, infondendo fiducia nei clienti e proteggendo la reputazione delle aziende.
Qual รจ la differenza tra PCI-DSS e PA-DSS?
Il PCI-DSS si applica a tutte le aziende che memorizzano, trasmettono ed elaborano i dati dei titolari di carta. Questo standard copre l’intero ecosistema dell’ambiente dei dati dei titolari di carta, e riguarda la sicurezza delle applicazioni di pagamento senza entrare nel dettaglio delle applicazioni stesse.
Invece il PA-DSS si applica solo ai fornitori che sviluppano applicazioni di pagamento per terzi. Il PA-DSS รจ uno standard gestito dal PCI Security Standards Council (PCI SSC), precedentemente sotto la supervisione di Visa Inc. Lo standard garantisce che queste applicazioni non memorizzino dati per i quali esiste un divieto di memorizzazione, come la banda magnetica completa, il codice o il valore di convalida della carta o il PIN.ย
Un’altra differenza fondamentale tra i due framework รจ che ottenere la certificazione PA-DSS significa aver sviluppato un’applicazione conforme allo standard, ma non significa automaticamente che l’azienda sia al tempo stesso conforme agli standard PCI-DSS.
A chi si applica il PA-DSS?
Sebbene il PA-DSS si applichi prevalentemente ai fornitori di applicazioni di pagamento di terze parti, si estende anche alle aziende che sviluppano applicazioni di pagamento per loro uso privato. Non si applica alle applicazioni di pagamento offerte da chi processa i pagamenti nรฉ alle applicazioni che fungono esclusivamente da gateway per chi processa i pagamenti.
Requisiti di conformitร PA-DSS:
-
Non conservare i dati completi della banda magnetica, del codice o del valore di convalida della carta o del blocco PIN
Le applicazioni di pagamento devono essere progettate per garantire che i dati sensibili non vengano memorizzati dopo l’autorizzazione.
-
Proteggere i dati memorizzati dei titolari di carta
I dati memorizzati dei titolari di carta devono essere protetti con un’adeguata crittografia o altre metodologie sicure. I dati dei titolari di carta non devono mai essere archiviati su un server collegato a Internet per evitare violazioni dei dati.
-
Fornire funzioni di autenticazione sicura
L’applicazione di pagamento deve prevedere un’autenticazione sicura dell’utente, come password complesse, crittografia o autenticazione a due fattori.
-
Registrare l’attivitร dell’applicazione di pagamento
Tutte le azioni all’interno dell’applicazione di pagamento devono essere registrate e i registri devono essere accessibili a fini di audit.
-
Sviluppare applicazioni di pagamento sicure
Il processo di sviluppo del software deve seguire pratiche di programmazione sicure e le applicazioni risultanti devono essere sottoposte a test approfonditi e a revisioni del codice.
-
Proteggere le trasmissioni wireless
I dati trasmessi devono essere criptati se l’applicazione di pagamento utilizza la tecnologia wireless.
-
Testare le applicazioni di pagamento per risolvere le vulnerabilitร
ร necessario condurre test regolari per identificare e risolvere eventuali vulnerabilitร di sicurezza nell’applicazione di pagamento.
-
Facilitare l’implementazione di una rete sicura
L’applicazione di pagamento non deve interferire con l’utilizzo di misure di sicurezza della rete, come ad esempio i firewall.
-
Facilitare la sicurezza degli aggiornamenti software da remoto
Se l’applicazione di pagamento consente aggiornamenti remoti, questi devono essere eseguiti in modo sicuro per evitare accessi non autorizzati.
-
Garantire un accesso remoto sicuro all’applicazione di pagamento
Qualsiasi accesso remoto all’applicazione di pagamento deve essere sicuro.
-
Crittografare il traffico sensibile sulle reti pubbliche
I dati sensibili trasmessi su reti pubbliche devono utilizzare crittografia per evitare che vengano intercettati.
-
Crittografare tutti gli accessi amministrativi non-console
L’accesso amministrativo all’applicazione di pagamento deve essere criptato se viene effettuato in rete.
-
Fornire a clienti, rivenditori e a chi integra il software documentazione e programmi di formazione aggiornati
I fornitori di software dovrebbero rendere disponibile una documentazione e una formazione sufficienti a garantire che gli utenti finali possano implementare e gestire in modo sicuro le loro applicazioni di pagamento.
Come ottenere la conformitร agli standard PA-DSS
1. Valutare lโapplicazione di pagamento
Il primo passo per ottenere la conformitร agli standard PA-DSS prevede una valutazione approfondita dell’applicazione di pagamento rispetto ai requisiti PA-DSS.
2. Correggere le vulnerabilitร identificate
Tutte le vulnerabilitร identificate durante la valutazione devono essere affrontate e risolte.
3. Convalida
Una volta eliminate tutte le vulnerabilitร , un PA-QSA (Payment Application Qualified Security Assessor) deve convalidare l’applicazione.
4. Compilazione del rapporto
Il PA-QSA compilerร un rapporto di convalida, che verrร poi inviato al PCI SSC (Payment Card Industry Security Standards Council).
5. Inserimento nell’elenco sul sito web di PCI SSC
Una volta che il PCI SSC accetta il rapporto, l’applicazione di pagamento viene inserita nellโelenco sul suo sito web come conforme agli standard PA-DSS.
PA-DSS per le aziende
La comprensione e l’implementazione dei PA-DSS รจ essenziale per qualsiasi azienda che sviluppi o utilizzi applicazioni di pagamento. Non solo contribuisce a garantire la gestione sicura dei dati sensibili dei titolari di carta, ma aiuta anche le organizzazioni a dimostrare il loro impegno nei confronti della sicurezza dei clienti. Seguendo i passi indicati, le aziende possono ottenere la conformitร agli standard PA-DSS e contribuire a un ambiente di pagamento piรน sicuro.