L’entrata in vigore del GDPR a maggio sarà preceduta a febbraio dall’obbligatorietà dei requisiti introdotti a ottobre 2016 con la PCI-DSS 3.2. Quali opportunità si delineano per un’organizzazione che deve indirizzare entrambi i temi?
Negli ultimi mesi la tensione legata all’approssimarsi dell’entrata in vigore del GDPR (General Data Protection Regulation) è cresciuta progressivamente. Gli aspetti di conformità al nuovo regolamento non sono i soli a preoccupare organizzazioni di ogni tipo e dimensione: spesso si verificano sovrapposizioni fra diverse attività di compliance con differenti requisiti, a volte apparentemente molto distanti fra di loro. Il mercato si sta abituando a riconoscere l’utilità dell’integrazione di norme quali la ISO 9001 e la ISO/IEC 27001, ma cosa poter dire, per esempio, del GDPR e della PCI-DSS, lo standard per la sicurezza dei dati di pagamento con carta di credito/debito? Se da un lato molto si è scritto a proposito del GDPR – sul suo focus principale nel rafforzare e uniformare la protezione dei dati di chiunque risieda all’interno dell’Unione europea e sulle serie conseguenze per un’organizzazione che dovesse risultare non conforme a questo regolamento – forse un po’ meno noto rimane lo standard PCI-DSS, riconosciuto in tutto il mondo, con focus principale sulla riduzione delle frodi nei pagamenti con carta.
GDPR e PCI-DSS sono entrambi progettati per migliorare la protezione di dati personali, ma nonostante questa chiara sovrapposizione di intenti, esistono significative differenze nella loro implementazione. Se da un lato il GDPR indica cosa le organizzazioni devono fare per proteggere i dati personali, senza però dettagliare esattamente il come, la PCI-DSS fornisce delle indicazioni precise su come farlo senza dare molto peso al contesto generale. PCI-DSS e GDPR, pur con le differenze nel loro ambito di applicazione, si completano a vicenda e la conformità al GDPR sarà meno onerosa se l’organizzazione ha già in essere una certificazione PCI o ha un cantiere già avviato per il suo raggiungimento. Come sempre accade nell’implementazione di uno standard, il primo passo è capirne lo scopo e l’ambito di applicazione. Questo permette di restringere il perimetro di interesse escludendo tutti quei sistemi attraverso cui i dati personali non transitano o non risiedono.
Per il GDPR i “personal data” sono qualsiasi dato relativo alla persona pertinente la sfera privata, professionale o pubblica dell’individuo. Sono considerati dati personali il nome, la foto, l’indirizzo email, le coordinate bancarie, l’IMEI del telefono, i post sui social network e anche il numero della carta di credito, il c.d. PAN che guida l’applicazione della PCI-DSS. Da qui nasce il principale punto di contatto nell’esecuzione di uno scoping valido per entrambi i contesti. Un discorso analogo può essere fatto per la cifratura dei dati, la gestione degli incidenti (e la relativa notifica), l’analisi del rischio e il controllo degli accessi. È inoltre da considerare che, nel perseguire una certificazione verso PCI-DSS, allora molti investimenti in tecnologie, processi e metodologie di sicurezza devono essere affrontati in modo organico e possono essere estesi ad altri dati personali nel rispetto dei principi del GDPR. Spesso la protezione dei dati viene vista esclusivamente come un ulteriore peso amministrativo.
È fondamentale capire che non ci si può sottrarre a questo obbligo, assicurando al contempo la continuità di conformità normativa ed evitando le sanzioni significative e i probabili danni reputazionali per la propria organizzazione derivanti dalla violazione di tali obblighi. Considerando la cronaca informatica in cui costantemente aumentano i racconti e gli episodi di violazioni “celebri”, non si può ritenere che un approccio non strutturato alla protezione dei dati dei nostri clienti, fornitori e dipendenti possa essere una questione che non ci riguarda. È utile quindi pensare all’implementazione parallela di GDPR e PCI-DSS non come due fardelli amministrativi, ma come fattore abilitante per il raggiungimento di due importanti certificazioni, al costo di un solo effort implementativo.
Luciano Quartarone docente CLUSIT