Dopo otto anni dall’uscita della versione 3.0 e un lungo ciclo di sviluppo, è finalmente pubblica la quarta versione del più popolare tra gli schemi di sicurezza sui dati relativi alle carte di pagamento
Dalla sua prima versione uscita nel 2004, il Payment Card Industry Data Security Standard (PCI DSS) è stato adottato da numerosissime banche, payment processors, merchant e fornitori di servizi a essi collegati in tutto il mondo ed è stato inserito, insieme ad altri ancora più settoriali, quale elemento contrattuale vincolante nelle “rules” imposte dai principali circuiti, passibile di salatissime multe laddove non rispettato. La versione 4.0 porta con sé nuovi requisiti, spostamenti e chiarimenti. Prima di addentrarci però su questi aspetti vale la pena soffermarsi sui cambiamenti di carattere più generale che la nuova versione porta con sé. Prima di tutto, l’introduzione del “customized approach”.
Questa novità prevede – non per tutti i requisiti – l’inserimento di un obiettivo, che può essere raggiunto seguendo il cosiddetto “defined approach”, ossia quanto fino a ieri indicato nello standard, oppure tramite una via scelta a discrezione dell’organizzazione e validata con un assessment formale del rischio, sulla base del quale il QSA incaricato dovrà definire e applicare una specifica procedura di test. La sezione di linee guida esplicative di ogni requisito è stata rinnovata e strutturata in sottoparagrafi e sono state introdotte alcune importanti precisazioni relativamente alle periodicità definite: trimestrale, per esempio, vuol dire tra i 90 e i 92 giorni, oppure al giorno “n” di un mese sì e due no. Diverse definizioni sono state inoltre riviste e puntualizzate, come quella per i “significant change”. Dei ben 64 nuovi requisiti introdotti dal PCI DSS versione 4.0, solo 13 dei più semplici entreranno “subito” in vigore, mentre gli altri 51 saranno obbligatori a partire dal 2025. La struttura dei requisiti rimane sostanzialmente invariata rispetto alla versione precedente, mentre le novità principali si concentrano sui seguenti ambiti: formalizzazione di ruoli e responsabilità per ogni requisito da 1 a 12; documentazione dello scope e suo aggiornamento periodico; protezione dei SAD tramite crittografia forte; adozione di strumenti di tipo DLP; declassamento della crittografia a livello di disco per la protezione dei PAN e richiesta di uso di keyed hash; prevenzione di phishing e social engineering; controllo della gestione delle utenze applicative e di sistema; riesame periodico delle utenze e dei privilegi; estensione dell’autenticazione a più fattori a tutti gli accessi al CDE; autenticazione delle scansioni di vulnerabilità; pianificazione dell’obsolescenza.
La periodicità di ben nove requisiti deve essere ora proporzionale al rischio e valutato con lo stesso elaborato meccanismo, definito nel nuovo “customized approach”. Per spiegarlo, sono stati introdotti ben due annex, collegati rispettivamente ai modelli da usare per stilare una control matrix e una targeted risk analysis. Secondo il piano del PCI SSC, la versione 4.0 del PCI DSS sarà accompagnata da tutti i documenti necessari al suo impiego entro il Q2 del 2022 e coesisterà con l’attuale versione 3.2.1 fino al 31 marzo 2024, data del suo ritiro previsto, mentre i nuovi requisiti dovranno obbligatoriamente essere adottati dal 31 marzo 2025, rimanendo come best practice fino ad allora. I cambiamenti introdotti dalla nuova versione del PCI DSS sono assolutamente condivisibili e alzano la già non bassa asticella che questo schema ha sempre posto, andando a incidere su alcuni punti (che spesso venivano a trovarsi in una zona grigia) e contribuendo in modo significativo all’effettivo miglioramento della sicurezza delle informazioni di un’organizzazione e non solo alla sua conformità a uno schema astratto. Sembra quindi che il PCI SSC, nonostante la lunga attesa, abbia mantenuto le aspettative, adesso non ci resta che vedere la reazione del mercato.
Fabio Guasconi comitato direttivo CLUSIT