Nell’articolo precedente ho fatto una veloce panoramica sull’utilità del PCI DSS in quanto standard di sicurezza per i dati relativi alle carte di credito.
Vorrei ora focalizzare l’attenzione su quali siano gli strumenti per la verifica della conformità.
Da dove si parte?
Il PCI SSC mette a disposizione una serie di documenti a supporto (tradotti anche in italiano), che però potrebbero apparire come una “giungla” per chi si avvicina per la prima volta a questo standard.
Il mio suggerimento è di fare riferimento a questo documento che, nonostante il titolo, offre una buona panoramica dello standard e indica passo-passo come procedere.
Chi deve fare cosa?
Tutti gli esercenti e i provider di servizi devono garantire la conformità a tutti gli standard di sicurezza dei dati PCI.
Il questionario di autovalutazione della conformità agli standard di sicurezza dei dati PCI (in breve SAQ, ovvero “Self Assessment Questionnaire”) è lo strumento di convalida che assiste gli interessati nell’autovalutazione della propria conformità allo standard PCI DSS.
Il SAQ è costituito dai seguenti componenti:
1. Domande correlate ai requisiti PCI DSS, appropriate per provider di servizi ed esercenti.
2. Attestato di conformità (in breve AOC, ovvero “Attestation Of Compliance”) : l’attestato è la certificazione della propria idoneità per eseguire e aver eseguito l’autovalutazione appropriata.
Esistono cinque categorie di convalida SAQ (vedere la tabella a pag. 8 del documento) la quale serve a valutare quale questionario SAQ sia più appropriato per la propria azienda.
Qual’è la procedura da seguire?
1. Utilizzare le linee guida a pag. 12 del documento per determinare il questionario SAQ appropriato per la propria azienda.
2. Utilizzare il documento Navigazione in PCI DSS: Comprensione dello scopo dei requisiti per comprendere come e perché i requisiti sono rilevanti per la propria azienda.
3. Utilizzare il questionario SAQ appropriato come strumento per convalidare la conformità agli standard PCI DSS.
4. Seguire le istruzioni disponibili nella sezione Conformità agli standard PCI DSS – Operazioni del questionario SAQ appropriato e fornire tutta la documentazione richiesta al proprio acquirente o marchio di pagamento, come necessario.
Chi certifica la correttezza del SAQ?
Ci si può avvalere della consulenza di un qualsiasi professionista della sicurezza per completare il questionario SAQ , tuttavia solo i professionisti inclusi nell’elenco di Qualified Security Assessor (QSA) di PCI SSC sono abilitati a validare l’AOC (nel caso in cui sia necessario un “onsite assessment”). Questo elenco è disponibile all’indirizzo https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf.
Per ulteriori dettagli rinvio alla documentazione ufficiale, mentre sarò felice di condividere la mia esperienza con chi di voi, come me, si sta cimentando con il PCI DSS!
Marco Andreatta
HCE Web Design
