Payment Application Data Security Standard - Payment Card Industry (PCI) Requisiti e procedure di valutazione della sicurezza
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Payment Card Industry (PCI)
Payment Application Data Security Standard
Requisiti e procedure di valutazione della sicurezza
Versione 2.0
Ottobre 2010Modifiche del documento
Data Versione Descrizione Pagine
Allineare il contenuto con i nuovi standard PCI DSS v1.2 e implementare modifiche minori
1 ottobre 2008 1.2
apportate dopo la versione originale v1.1.
In “Ambito del programma PA-DSS” allineare il contenuto con la Guida del programma PA-
v, vi
DSS, v1.2.1, per chiarire con quali applicazioni utilizzare PA-DSS.
In Requisito laboratorio 6, correggere lo spelling di “OWASP”. 30
luglio 2009 1.2.1
In Attestato di convalida Parte 2a aggiornare la sezione Funzionalità dell'applicazione di
pagamento affinché sia in linea con i tipi di applicazione elencati nella Guida del programma 32, 33
PA-DSS e chiarire le procedure di riconvalida annuale nella Parte 3b.
Aggiornare e implementare modifiche minori rispetto alla v1.2.1 ed allineare con il nuovo PCI
Ottobre 2010 2.0 DSS v2.0. Per informazioni dettagliate, fare riferimento a ―PA-DSS—Riepilogo delle modifiche
dalla Versione 1.2.1 alla 2.0 PA-DSS.”
PCI PA-DSS Requisiti e procedure di valutazione della sicurezza v2.0 Pagina 2
Copyright © 2010 PCI Security Standards Council LLC Ottobre 2010Sommario Modifiche del documento ............................................................................................................................................................................................ 2 Introduzione ………………………………………………………………………………………………………………………………………………………...4 Scopo del documento ................................................................................................................................................................................................. 4 Relazione tra PCI DSS e PA-DSS ............................................................................................................................................................................. 4 Ambito del programma PA-DSS ................................................................................................................................................................................. 5 Applicabilità degli standard PA-DSS alle applicazioni di pagamento a terminali hardware ....................................................................................... 7 Ruoli e responsabilità ................................................................................................................................................................................................. 8 Guida per l'implementazione del programma PA-DSS ............................................................................................................................................ 11 Requisiti per PA-QSA ............................................................................................................................................................................................... 11 Laboratorio di test ..................................................................................................................................................................................................... 12 Informazioni sull'applicabilità degli standard PCI DSS .......................................................................................................................................... 13 Istruzioni e contenuto per il rapporto di convalida ................................................................................................................................................ 15 Operazioni di completamento del programma PA-DSS ......................................................................................................................................... 17 Guida del programma PA-DSS ................................................................................................................................................................................. 17 Requisiti PCI DSS e procedure di valutazione della sicurezza ............................................................................................................................. 18 1. Non conservare i dati della striscia magnetica, il valore o il codice di verifica della carta (CAV2, CID, CVC2, CVV2) o i dati del blocco PIN18 2. Proteggere i dati di titolari di carta memorizzati .............................................................................................................................................. 23 3. Fornire funzioni di autenticazione sicura ......................................................................................................................................................... 29 4. Registrare l'attività dell'applicazione di pagamento ........................................................................................................................................ 34 5. Sviluppare applicazioni di pagamento sicure .................................................................................................................................................. 37 6. Proteggere le trasmissioni wireless ................................................................................................................................................................ 40 7. Sottoporre a test le applicazioni di pagamento per identificare le vulnerabilità .............................................................................................. 43 8. Facilitare l'implementazione sicura in rete ...................................................................................................................................................... 44 9. I dati dei titolari di carta non devono mai essere memorizzati su un server connesso a Internet .................................................................. 44 10. Facilitare l'accesso remoto sicuro all'applicazione di pagamento................................................................................................................... 45 11. Cifratura dei dati sensibili trasmessi su reti pubbliche .................................................................................................................................... 49 12. Cifratura di tutto l'accesso amministrativo non da console ............................................................................................................................. 50 13. Gestire la documentazione e i programmi di formazione per clienti, rivenditori e responsabili dell'integrazione ........................................... 50 Appendice A: Riepilogo del contenuto della Guida per l'implementazione del programma PA-DSS .......................................................... 52 Appendice B: Conferma della configurazione del laboratorio di test specifica per la valutazione PA-DSS ............................................... 59 PCI PA-DSS Requisiti e procedure di valutazione della sicurezza v2.0 Pagina 3 Copyright © 2010 PCI Security Standards Council LLC Ottobre 2010
Introduzione
Scopo del documento
Questo documento è destinato ai PA-QSA (Payment Application-Qualified Security Assessor) che eseguono le revisioni delle applicazioni di
pagamento, in modo che i fornitori del software possano convalidare la conformità di un'applicazione di pagamento agli standard PCI PA-DSS
(Payment Application Data Security Standard). Il presente documento deve essere utilizzato dai PA-QSA anche come modello per creare il
Rapporto di convalida (ROV).
Ulteriori risorse inclusi Attestati di convalida, Frequently Asked Questions (FAQ) e il Glossario, abbreviazioni e acronimi PCI DSS e PA-DSSsono
disponibili sul sito Web di PCI Security Standards Council (PCI SSC)— www.pcisecuritystandards.org.
Relazione tra PCI DSS e PA-DSS
L'uso di un applicazione conforme agli standard PA-DSS di per sé stessa non rende l'entità conforme agli standard PCI DSS, poiché l'applicazione
in questione deve essere implementata in un ambiente conforme agli standard PCI DSS ed in conformità alla Guida per l'implementazione del
programma PA-DSS fornita dal fornitore dell'applicazione di pagamento (in base al Requisito 13.1 PA-DSS).
I requisiti per gli standard PA-DSS derivano dagli standard PCI DSS (Payment Card Industry Data Security Standard) e dalle Procedure di
valutazione della sicurezza. Questo documento, che è disponibile sul sito Web all'indirizzo www.pcisecuritystandards.org, descrive
dettagliatamente quanto richiesto per la conformità agli standard PCI DSS (e, quindi, i requisiti che un'applicazione di pagamento deve supportare
per consentire ai clienti di agire in modo conforme agli standard PCI DSS).
I requisiti di conformità tradizionali PCI DSS potrebbero non essere direttamente applicabili ai fornitori di applicazioni di pagamento, poiché la
maggior parte dei fornitori non memorizza, elabora o trasmette dati di titolari di carta. Tuttavia, poiché queste applicazioni di pagamento sono
utilizzate dai clienti per memorizzare, elaborare e trasmettere dati di titolari di carta e ai clienti viene richiesto di rispettare gli standard PCI DSS, le
applicazioni di pagamento devono facilitare, e non impedire, la conformità a tali standard per i clienti. Di seguito alcuni esempi di come le
applicazioni di pagamento possono impedire di rispettare gli standard previsti:
1. Memorizzazione di dati su striscia magnetica e/o dati equivalenti sul chip nella rete del cliente a seguito dell'autorizzazione;
2. Applicazioni che per un corretto funzionamento richiedono ai clienti di disattivare altre funzioni richieste dagli standard PCI DSS, quali
software antivirus o firewall;
3. Uso di metodi non sicuri del fornitore per connettersi all'applicazione e fornire supporto al cliente.
Applicazioni di pagamento sicure, quando implementate in un ambiente conforme agli standard PCI DSS, riducono al minimo il rischio di violazioni
della sicurezza che possono compromettere dati della striscia magnetica, valori e codici di verifica della carta (CAV2, CID, CVC2, CVV2), PIN e
blocchi PIN e limitano i danni derivanti da tali violazioni.
PCI PA-DSS Requisiti e procedure di valutazione della sicurezza v2.0 Pagina 4
Copyright © 2010 PCI Security Standards Council LLC Ottobre 2010Ambito del programma PA-DSS
Gli standard PA-DSS sono validi per i fornitori di software e altre persone che sviluppano applicazioni di pagamento che memorizzano, elaborano
o trasmettono dati di titolari di carta nell'ambito del processo di autorizzazione o contabilizzazione delle transazioni, dove queste applicazioni di
pagamento sono vendute, distribuite o concesse in licenza a terze parti.
La guida seguente può essere utilizzata per determinare se gli standard PA-DSS sono validi per una determinata applicazione di pagamento:
Gli standard PA-DSS si riferiscono ad applicazioni di pagamento che solitamente sono vendute e installate Nota:
come "prodotti standard" senza operazioni di personalizzazione dei fornitori software. Tutte le applicazioni di
Il programma PA-DSS è valido per applicazioni di pagamento fornite in moduli, che in genere includono un pagamento convalidate
modulo "base" e altri moduli specifici dei tipi o delle funzioni dei clienti oppure personalizzati su richiesta dei non devono essere
clienti. Tale programma può essere applicato solo al modulo base se tale modulo è l'unico che esegue versioni beta.
funzioni di pagamento (una volta ottenuta la conferma da un PA-QSA). Se anche altri moduli eseguono
funzioni di pagamento, gli standard PA-DSS si applicano anche a tali moduli. Tenere presente che è consigliabile per i fornitori software
isolare le funzioni di pagamento in un singolo modulo o in un numero limitato di moduli base, riservando agli altri moduli funzioni non di
pagamento. Questa strategia consigliata (non obbligatoria) consente di ridurre il numero di moduli che devono essere sottoposti alla
revisione PA-DSS.
Il programma PA-DSS NON è valido per applicazioni di pagamento offerte da provider di applicazioni o servizi esclusivamente come
servizio (a meno che tali applicazioni non vengano vendute, concesse in licenza o distribuite a terze parti) perché:
1) l’applicazione è un servizio offerto ai clienti (in genere esercenti) e i clienti non hanno la possibilità di gestire, installare o controllare
l’applicazione o il suo ambiente;
2) l’applicazione è coperta dagli standard PCI DSS del provider di applicazioni o servizi (tale copertura non deve essere confermata dal
cliente);
3) l’applicazione non viene venduta, distribuita o concessa in licenza a terzi.
Esempi di applicazioni di pagamento ―software as a service‖ sono:
1) Le applicazioni offerte da application service provider (ASP) che ospitano l’applicazione di pagamento sul proprio sito affinché venga
utilizzata dai propri clienti. PA-DSS potrebbe essere applicabile, tuttavia, se l’applicazione di pagamento ASP venisse venduta a
terze parti, e quindi implementata sul loro sito, e se non fosse coperta dagli standard PCI DSS del fornitore ASP.
2) Applicazioni per terminali virtuali che risiedono sul sito di un provider di servizi e che vengono utilizzate per inserire le sue transazioni
di pagamento. PA-DSS potrebbe essere applicabile se l’applicazione per terminale virtuale presentasse una porzione distribuita
all’esercente e implementata sul suo sito e non fosse coperta dagli standard PCI DSS del provider di terminali virtuali.
Il programma PA-DSS NON è valido per applicazioni non di pagamento che fanno parte di una suite di applicazioni di pagamento. Tali
applicazioni (come la funzionalità di monitoraggio, valutazione e rilevamento delle frodi integrata in una suite) possono essere, anche se
non è necessario, coperte da PA-DSS se la suite viene valutata nella sua interezza. Ciononostante, se un’applicazione di pagamento fa
parte di una suite che si affida ai controlli di altre applicazioni presenti nella suite per la conformità ai requisiti PA-DSS, dovrà essere
eseguita una sola valutazione PA-DSS per l’applicazione di pagamento e tutte le altre applicazioni incluse nella suite da cui dipende. Tali
PCI PA-DSS Requisiti e procedure di valutazione della sicurezza v2.0 Pagina 5
Copyright © 2010 PCI Security Standards Council LLC Ottobre 2010applicazioni non devono essere valutate separatamente dalle altre applicazioni da cui dipendono, poiché una sola applicazione non
rispetta tutti i requisiti PA-DSS.
Il programma PA-DSS NON è valido per un'applicazione di pagamento sviluppata e venduta per un solo cliente per il suo uso esclusivo,
poiché questa applicazione verrà esaminata nell'ambito del controllo di conformità agli standard PCI DSS del cliente. Tenere presente che
un'applicazione di questo tipo (che può essere definita anche applicazione "su misura") è venduta a un solo cliente (in genere, un
esercente o un provider di servizi importante) ed è progettata e sviluppata in base alle specifiche fornite dal cliente.
Gli standard PA-DSS NON si riferiscono ad applicazioni di pagamento sviluppate da esercenti e provider di servizi se utilizzate solo in-
house (non vendute, distribuite o concesse in licenza a terze parti), poiché le applicazioni di pagamento sviluppate in-house rientrano nel
controllo della conformità agli standard PCI DSS dell'esercente o provider di servizi.
Ad esempio, per l'ultimo punto, se l'applicazione di pagamento sviluppata in-house o "su misura" memorizza dati di autenticazione riservati
vietati o consente l'uso di password complesse, tale applicazione verrà valutata nell'ambito della valutazione della conformità agli standard
PCI DSS dell'esercente o del provider di servizi e non richiederà una valutazione di conformità agli standard PA-DSS separata.
Il seguente elenco, sebbene non completo, indica le applicazioni che NON sono applicazioni di pagamento valide per il programma PA-DSS (e
che, quindi, non devono essere sottoposte alle valutazioni di conformità agli standard PA-DSS):
Sistemi operativi su cui è installata un'applicazione di pagamento (ad esempio, Windows, Unix) Nota: PCI SSC inserirà nell'elenco
Sistemi di database che memorizzano dati di titolari di carta (ad esempio, Oracle) SOLO le applicazioni che sono
applicazioni di pagamento.
Sistemi back-office che memorizzano dati di titolari di carta (ad esempio, per scopi di reporting o
assistenza clienti)
Nell'ambito della revisione PA-DSS deve essere verificato quanto segue:
Tutta la funzionalità dell'applicazione di pagamento, incluse senza limitazione 1) funzioni di pagamento end-to-end (autorizzazione e
contabilizzazione), 2) input e output, 3) condizioni di errore, 4) interfacce e collegamenti ad altri file, sistemi e/o applicazioni di pagamento
o componenti di applicazioni, 5) tutti i flussi dei dati di titolari di carta, 6) meccanismi di cifratura e 7) meccanismi di autenticazione.
Le istruzioni che il fornitore dell'applicazione di pagamento deve fornire a clienti e rivenditori/responsabili dell'integrazione (vedere la
Guida per l'implementazione del programma PA-DSS più avanti in questo documento) per accertarsi che 1) il cliente sia in grado di
implementare l'applicazione di pagamento in modo conforme agli standard PCI DSS e 2) il cliente sia consapevole che determinate
impostazioni dell'applicazione di pagamento e dell'ambiente possono impedire la conformità agli standard PCI DSS. Tenere presente che
il fornitore dell'applicazione di pagamento può essere tenuto a fornire tali istruzioni anche quando la specifica impostazione 1) non può
essere controllata dal fornitore dell'applicazione di pagamento una volta installata dal cliente o 2) è di responsabilità del cliente e non del
fornitore dell'applicazione di pagamento.
Tutte le piattaforme selezionate per la versione dell'applicazione di pagamento sottoposta a revisione (specificare le piattaforme incluse).
Gli strumenti utilizzati da o all'interno dell'applicazione di pagamento per accedere e/o visualizzare i dati dei titolari di carta (strumenti di
reporting, registrazione, ecc.)
PCI PA-DSS Requisiti e procedure di valutazione della sicurezza v2.0 Pagina 6
Copyright © 2010 PCI Security Standards Council LLC Ottobre 2010Applicabilità degli standard PA-DSS alle applicazioni di pagamento a terminali hardware
Le applicazioni di pagamento progettate per funzionare su terminali hardware (noti anche come terminali POS dedicati o indipendenti) possono
essere sottoposte ad una revisione PA-DSS se il fornitore desidera ottenere la convalida e se i requisiti di conformità PA-DSS possono essere
soddisfatti. I motivi per i quali un fornitore può desiderare di sottoporsi ad una convalida PA-DSS per un'applicazione di pagamento su un
terminale hardware includono, senza limitazione, esigenze aziendali ed obblighi di conformità. In questa sezione sono fornite le istruzioni per i
fornitori che intendono ottenere la convalida PA-DSS per applicazioni di pagamento residenti su terminali hardware.
La convalida PA-DSS per un'applicazione di pagamento residente su un terminale hardware può essere ottenuta in due modi:
1. L'applicazione di pagamento residente soddisfa direttamente tutti i requisiti PA-DSS ed è convalidata in base alle procedure PA-DSS
standard.
2. L'applicazione di pagamento residente non soddisfa tutti i requisiti PA-DSS, ma l'hardware su cui l'applicazione è residente è inserito
nell'Elenco PCI SCC di dispositivi di sicurezza delle transazioni (PTS) PIN approvati come dispositivo di punto di interazione (POI)
approvato PCI PTS attuale. In questo scenario, potrebbe essere possibile per l'applicazione soddisfare i requisiti PA-DSS attraverso una
combinazione di controlli convalidati PTS e PA-DSS.
La restante parte di questa sezione si riferisce solo alle applicazioni di pagamento residenti su un dispositivo POI approvato PCI PTS convalidato.
Se non è possibile per l'applicazione di pagamento soddisfare direttamente uno o più requisiti PA-DSS, questi possono essere soddisfatti in modo
indiretto attraverso controlli sottoposti a test come parte della convalida PCI PTS. Per un dispositivo hardware da prendere in esame per
l'inserimento in una revisione PA-DSS, il dispositivo hardware DEVE essere convalidato come dispositivo POI approvato PCI PTS ed essere
inserito nell'Elenco di dispositivi PTS approvati PCI SSC. Il dispositivo POI convalidato PTS, che mette a disposizione un ambiente informatico
affidabile, diventerà una ―dipendenza necessaria‖ per l'applicazione di pagamento e la combinazione di applicazione ed hardware sarà inserita
insieme nell'Elenco PA-DSS di Convalida applicazioni di pagamento.
In sede di valutazione PA-DSS, il PA-QSA deve sottoporre ad un test completo l'applicazione di pagamento con l'annesso hardware in base a tutti
i requisiti PA-DSS. Se il PA-QSA ritiene che l'applicazione di pagamento residente non sia in grado di soddisfare uno o più requisiti PA-DSS, ma
che questi siano soddisfatti dai controlli convalidati in base agli standard PCI PTS, il PA-QSA è tenuto a:
1. Documentare in modo chiaro quali requisiti sono soddisfatti come indicato nel PA-DSS (come di consueto);
2. Documentare in modo chiaro quale requisito sia stato soddisfatto mediante PCI PTS nella casella ―Presente‖ per il requisito in questione;
3. Inserire un'esauriente spiegazione in merito alle motivazioni in base alle quali l'applicazione di pagamento non era in grado di soddisfare il
requisito PA-DSS;
4. Documentare le procedure eseguite per stabilire in che modo il requisito in questione veniva soddisfatto completamente attraverso un
controllo convalidato PCI PTS;
5. Elencare il terminale hardware convalidato PCI PTS come dipendenza necessaria nel Riepilogo esecutivo del Rapporto di convalida.
A seguito del completamento della convalida PA-QSA dell'applicazione di pagamento e della successiva accettazione da parte del PCI SSC, il
dispositivo hardware convalidato PTS sarà inserito come dipendenza per l'applicazione di pagamento nell'Elenco di applicazioni convalidate PA-
DSS.
PCI PA-DSS Requisiti e procedure di valutazione della sicurezza v2.0 Pagina 7
Copyright © 2010 PCI Security Standards Council LLC Ottobre 2010Le applicazioni di pagamento residenti su terminali hardware che sono convalidate attraverso una combinazione di controlli PA-DSS e PCI PTS
devono soddisfare i seguenti criteri:
1. Essere forniti insieme al cliente (terminale hardware ed applicazione), OPPURE, se forniti separatamente, il fornitore dell'applicazione e/o
il rivenditore/responsabile dell'integrazione devono inviare l'applicazione per la distribuzione in modo che funzioni esclusivamente sul
terminale hardware per il quale ha ricevuto la convalida.
2. Consentire per impostazione predefinita di supportare la conformità agli standard PCI DSS del cliente.
3. Comprendere assistenza ed aggiornamenti continui per conservare la conformità agli standard PCI DSS.
4. In caso di vendita, distribuzione o concessione in licenza separata dell'applicazione ai clienti, il fornitore è tenuto a fornire le informazioni
dettagliate sull'hardware dipendente necessario per l'utilizzo con l'applicazione, in conformità al suo elenco di convalida PA-DSS.
Ruoli e responsabilità
La comunità delle applicazioni di pagamento è costituita da persone con ruoli diversi. Alcuni di questi ruoli hanno una partecipazione più diretta nel
processo di valutazione PA-DSS, ossia fornitori, PA-QSA e PCI SSC. Altre che non sono direttamente coinvolte nel processo di valutazione
devono comunque conoscere l'intero processo per prendere decisioni a livello aziendale più appropriate.
Di seguito vengono definiti i ruoli e le responsabilità di tutti i membri della comunità delle applicazioni di pagamento. Le responsabilità elencate si
riferiscono alle persone coinvolte nel processo di valutazione.
Marchi di pagamento
American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc. sono i marchi di pagamento che hanno
fondato PCI SSC. Questi marchi sono responsabili dello sviluppo e dell'applicazione di tutti i programmi correlati alla conformità agli standard PA-
DSS, incluso, senza limitazione, quanto segue:
Requisiti, mandati o date per l'uso di applicazioni di pagamento conformi agli standard PA-DSS
Multe o sanzioni correlate all'uso di applicazioni di pagamento non conformi.
I marchi di pagamento possono definire programmi, mandati, date di conformità e altro utilizzando gli standard PA-DSS e le applicazioni di
pagamento convalidate elencate da PCI SSC. Mediante questi programmi di conformità, tali marchi promuovono l'uso delle applicazioni di
pagamento convalidate elencate.
PCI SSC (Payment Card Industry Security Standards Council)
PCI SSC è l'organismo che gestisce gli standard per le carte di pagamento, inclusi gli standard PCI DSS e PA-DSS. Relativamente al programma
PA-DSS, PCI SSC:
È un repository centralizzato per i rapporti di convalida (ROV, Reports of Validation) PA-DSS
Esegue controlli di qualità (QA) sui rapporti di convalida PA-DSS per confermare la congruenza e la qualità di tali rapporti
Crea e gestisce un elenco delle applicazioni di pagamento convalidate in base al programma PA-DSS sul sito Web
PCI PA-DSS Requisiti e procedure di valutazione della sicurezza v2.0 Pagina 8
Copyright © 2010 PCI Security Standards Council LLC Ottobre 2010 Qualifica e forma i PA-QSA per eseguire le revisioni PA-DSS
Gestisce e aggiorna gli standard PA-DSS e la documentazione correlata in base a uno specifico processo di gestione.
Tenere presente che PCI SSC non approva i rapporti da un punto di vista di convalida. Il ruolo del PA-QSA consiste nel documentare la
conformità dell'applicazione di pagamento agli standard PA-DSS a partire dalla data di valutazione. Inoltre, PCI SSC esegue i controlli di qualità
necessari per accertarsi che i PA-QSA documentino in modo accurato e completo le valutazioni PA-DSS.
Fornitori di software
I fornitori di software ("fornitori") sviluppano le applicazioni di pagamento che memorizzano, elaborano o trasmettono dati di titolari di carta
nell'ambito del processo di autorizzazione o contabilizzazione e, quindi, vendono, distribuiscono e concedono in licenza queste applicazioni di
pagamento a terze parti (clienti o rivenditori/responsabili dell'integrazione). I fornitori sono responsabili di:
Creare applicazioni di pagamento conformi agli standard PA-DSS che facilitino e non impediscano la conformità agli standard PCI DSS
dei loro clienti (l'applicazione non può richiedere un'implementazione o un'impostazione di configurazione che viola un requisito PCI
DSS).
Seguire i requisiti PCI DSS ogni volta che memorizzano, elaborano o trasmettono i dati di titolari di carta (ad esempio, durante la
risoluzione dei problemi dei clienti).
Creare una Guida per l'implementazione del programma PA-DSS specifica per ciascuna applicazione di pagamento, in base ai requisiti
indicati nel presente documento.
Formare clienti, rivenditori e responsabili dell'integrazione su come installare e configurare le applicazioni di pagamento in modo
conforme agli standard PCI DSS.
Assicurare che le applicazioni di pagamento soddisfino i requisiti PA-DSS superando una revisione PA-DSS come specificato nel
presente documento.
PA-QSA
I PA-QSA sono QSA qualificati e formati da PCI SSC per eseguire le revisioni PA-DSS.
I PA-QSA sono responsabili di: Nota: Non tutte le aziende
Eseguire le valutazioni delle applicazioni di pagamento in base alle Procedure di valutazione della qualificate per la valutazione
sicurezza e ai Requisiti di convalida per PA-QSA. della sicurezza (QSA) sono PA-
Fornire un feedback sulla conformità dell'applicazione di pagamento ai requisiti PA-DSS. QSA, ossia aziende qualificate
per valutare la sicurezza delle
Fornire una documentazione adeguata all'interno del rapporto di convalida (ROV) per dimostrare la
applicazioni di pagamento. Per
conformità dell'applicazione di pagamento agli standard PA-DSS
diventare un PA-QSA, esistono
Inviare il rapporto di convalida a PCI SSC, insieme all'attestato di convalida (firmato da entrambi, PA- ulteriori requisiti di qualifica che
QSA e fornitore). devono essere soddisfatti.
Gestire un processo di controllo qualità interno per le proprie attività.
PCI PA-DSS Requisiti e procedure di valutazione della sicurezza v2.0 Pagina 9
Copyright © 2010 PCI Security Standards Council LLC Ottobre 2010È responsabilità del PA-QSA indicare se l'applicazione di pagamento è conforme. PCI SSC non approva i rapporti di convalida (ROV) da un punto
di vista di conformità tecnica, ma sottopone a controlli di qualità tali rapporti per assicurare che documentino adeguatamente la dimostrazione
della conformità.
Rivenditori/Responsabili dell'integrazione
I rivenditori e i responsabili dell'integrazione sono le entità che si occupano della vendita, dell'installazione e/o dell'assistenza delle applicazioni di
pagamento per conto dei fornitori del software o di altri. I rivenditori e i responsabili dell'integrazione sono responsabili di:
Implementare solo le applicazioni di pagamento conformi agli standard PA-DSS in un ambiente conforme agli standard PCI DSS (o
fornire le istruzioni necessarie all'esercente).
Configurare l'applicazione di pagamento (nel caso in cui sono fornite opzioni di configurazione) in base alla Guida per l'implementazione
degli standard PA-DSS del fornitore
Configurare le applicazioni di pagamento (o fornire le istruzioni necessarie all'esercente) in modo conforme agli standard PCI DSS.
Fornire assistenza per le applicazioni di pagamento (ad esempio, risoluzione di problemi, aggiornamenti in remoto e assistenza in
remoto) in base alla Guida per l'implementazione del programma PA-DSS e agli standard PCI DSS.
I rivenditori e i responsabili dell'integrazione non inviano applicazioni di pagamento per la valutazione. I prodotti possono essere inviati solo dal
fornitore.
PCI PA-DSS Requisiti e procedure di valutazione della sicurezza v2.0 Pagina 10
Copyright © 2010 PCI Security Standards Council LLC Ottobre 2010Clienti
I clienti sono esercenti, provider di servizi o altre persone che acquistano o ricevono un'applicazione di pagamento
Nota: Un'applicazione di
di terza parte per memorizzare, elaborare o trasmettere dati di titolari di carta nell'ambito del processo di pagamento conforme agli
autorizzazione o contabilizzazione delle transazioni. I clienti che desiderano utilizzare applicazioni conformi agli standard PA-DSS da sola
standard PA-DSS sono responsabili di: non garantisce la
Implementare un'applicazione di pagamento conforme agli standard PA-DSS in un ambiente conforme conformità agli standard
agli standard PCI DSS. PCI DSS.
Configurare l'applicazione di pagamento (nel caso in cui sono fornite opzioni di configurazione) in base
alla Guida per l'implementazione degli standard PA-DSS del fornitore
Configurare l'applicazione di pagamento in modo conforme agli standard PCI DSS.
Mantenere lo stato di conformità agli standard PCI DSS per l'ambiente e la configurazione dell'applicazione.
Guida per l'implementazione del programma PA-DSS
Le applicazioni di pagamento convalidate devono poter essere implementate in modo conforme agli standard PCI DSS. Ai fornitori di software
viene richiesto di fornire una Guida per l'implementazione del programma PA-DSS per istruire i relativi clienti e rivenditori/responsabili
dell'integrazione su come implementare il prodotto in modo sicuro, per documentare le specifiche di configurazione sicure menzionate nel
presente documento e per delineare chiaramente le responsabilità di fornitori, rivenditori/responsabili dell'integrazione e clienti relativamente ai
requisiti PCI DSS. In tale Guida deve essere descritto dettagliatamente come il cliente e/o rivenditore/responsabile dell'integrazione deve abilitare
le impostazioni di sicurezza all'interno della rete del cliente. Ad esempio, la Guida per l'implementazione del programma PA-DSS deve fornire tutte
le informazioni rilevanti sulle responsabilità e sulle funzionalità di base della sicurezza delle password PCI DSS anche se non controllate
dall'applicazione di pagamento, in modo che il cliente o il rivenditore/responsabile dell'integrazione comprenda come implementare password
sicure per la conformità agli standard PCI DSS.
Le applicazioni di pagamento, quando implementate in base alla Guida per l'implementazione del programma PA-DSS e quando implementate in
un ambiente conforme agli standard PCI DSS, devono facilitare e supportare la conformità a tali standard del cliente.
Fare riferimento all'Appendice A: Riepilogo del contenuto della Guida per l'implementazione del programma PA-DSS per un confronto delle
responsabilità di implementazione dei controlli specificati nella Guida per l'implementazione del programma PA-DSS.
Requisiti per PA-QSA
Solo i PA-QSA (Payment Application Qualified Security Assessor) assunti da società QSA sono autorizzati ad eseguire valutazioni di conformità
agli standard PA-DSS. Fare riferimento all'elenco di QSA all'indirizzo www.pcisecuritystandards.org per un elenco delle società qualificate ad
eseguire valutazioni di conformità agli standard PA-DSS.
Il PA-QSA deve utilizzare le procedure di test descritte nel presente documento.
Il PA-QSA deve avere accesso a un laboratorio in cui eseguire il processo di convalida.
PCI PA-DSS Requisiti e procedure di valutazione della sicurezza v2.0 Pagina 11
Copyright © 2010 PCI Security Standards Council LLC Ottobre 2010Laboratorio di test
I laboratori di test possono essere presenti in una delle due seguenti posizioni: in sede presso il PA-QSA, oppure in sede presso il
fornitore del software.
Il laboratorio deve essere in grado di simulare l'uso nel mondo reale dell'applicazione di pagamento.
Il PA-QSA deve validare l'installazione completa dell'ambiente del laboratorio per assicurare l'effettiva simulazione da parte dell'ambiente
di una situazione nel mondo reale e la mancata modifica o alterazione dell'ambiente in alcun modo da parte del fornitore.
Fare riferimento all'Appendice B: Conferma della configurazione del laboratorio di test specifica per la valutazione PA-DSS in questo
documento per verificare i requisiti dettagliati per il laboratorio e i processi correlati.
Il PA-QSA deve completare e inviare l'Appendice B, per il laboratorio specifico utilizzato per la revisione dell'applicazione di pagamento,
insieme al rapporto PA-DSS completato.
PCI PA-DSS Requisiti e procedure di valutazione della sicurezza v2.0 Pagina 12
Copyright © 2010 PCI Security Standards Council LLC Ottobre 2010Informazioni sull'applicabilità degli standard PCI DSS
(Estratto da PCI DSS)
I Payment Card Industry Data Security Standard (PCI DSS) si applicano in occasione di ogni memorizzazione, elaborazione o trasmissione di dati
degli account. I dati degli account sono costituiti da Dati di titolari di carta più Dati sensibili di autenticazione, come segue.
I dati sensibili di autenticazione
I dati dei titolari di carta comprendono:
comprendono:
PAN (Primary Account Number) Dati completi della striscia magnetica
Nome titolare di carta o equivalenti sul chip
Data di scadenza CAV2/CVC2/CVV2/CID
Codice di servizio PIN/Blocchi PIN
Il PAN (Primary Account Number) è il fattore determinante nell'applicabilità dei requisiti PCI DSS e degli standard PA-DSS. Gli standard
PCI DSS sono applicabili se viene memorizzato, elaborato o trasmesso un numero PAN (Personal Account Number, numero account personale).
Se il PAN non viene memorizzato, elaborato o trasmesso, gli standard PCI DSS e PA-DSS non sono applicabili.
Se il nome del titolare di carta, il codice di servizio e/o la data di scadenza sono memorizzati, elaborati o trasmessi con il PAN, oppure sono
presenti in altro modo nell'ambiente di dati di titolari di carta, tali dati devono essere protetti in conformità a tutti i requisiti PCI DSS ad eccezione
dei Requisiti 3.3 e 3.4 che si applicano solo al PAN.
Il PCI DSS costituisce una serie minima di obiettivi di controllo che possono essere migliorati da leggi e regolamenti a livello locale, regionale e di
settore. Inoltre, i requisiti legislativi o regolamentari possono prevedere una protezione specifica di informazioni di identificazione personale o di
altri elementi di dati (ad esempio, il nome del titolare di carta), oppure definire le pratiche di divulgazione di un'entità connesse alle informazioni sui
consumatori. Esempi comprendono la legislazione correlata alla protezione dei dati dei consumatori, alla privacy, al furto di identità o alla
sicurezza dei dati. PCI DSS non sostituisce le leggi regionali o locali, i regolamenti governativi o altri requisiti legali.
La tabella seguente degli standard Payment Card Industry Data Security Standard (PCI DSS) illustra gli elementi di dati di titolari di carta e dati
sensibili di autenticazione utilizzati comunemente, indipendentemente dal fatto che la memorizzazione di tali dati sia consentita o meno e che tali
dati debbano essere protetti. Questa tabella non intende essere completa, ma illustra i diversi tipi di requisiti che si applicano a ciascun elemento
di dati.
PCI PA-DSS Requisiti e procedure di valutazione della sicurezza v2.0 Pagina 13
Copyright © 2010 PCI Security Standards Council LLC Ottobre 2010Memorizzazione Rendere i dati di account
Elemento di dati consentita memorizzati illeggibili per
il Requisito 3.4 PCI DSS
PAN (Primary Account Number) Sì Sì
Dati di titolari Nome titolare di carta Sì No
di carta Codice di servizio Sì No
Dati di account
Data di scadenza Sì No
Dati completi della striscia Impossibile memorizzare in
2 No
magnetica base al Requisito 3.2
Dati sensibili
di Impossibile memorizzare in
CAV2/CVC2/CVV2/CID No
autenticazione base al Requisito 3.2
1
Impossibile memorizzare in
PIN/Blocco PIN No
base al Requisito 3.2
I Requisiti 3.3. e 3.4 PCI DSS si applicano solo al PAN. In caso di memorizzazione del PAN con altri elementi dei dati del titolare di carta, è solo il
PAN che va reso illeggibile in conformità al Requisito 3.4 PCI DSS.
Il PCI DSS si applica solo in caso di memorizzazione, elaborazione e/o trasmissione dei PAN.
1
I dati sensibili di autenticazione non devono essere memorizzati dopo l'autorizzazione (anche se cifrati).
2
Dati su traccia completa dalla striscia magnetica, dati equivalenti in un chip o in altro luogo.
PCI PA-DSS Requisiti e procedure di valutazione della sicurezza v2.0 Pagina 14
Copyright © 2010 PCI Security Standards Council LLC Ottobre 2010Istruzioni e contenuto per il rapporto di convalida
Questo documento deve essere utilizzato dai PA-QSA come modello per creare il rapporto di convalida. Tutti i PA-QSA devono seguire le
istruzioni presenti in questo documento per il contenuto e il formato del rapporto di convalida.
Tale rapporto deve contenere le seguenti informazioni come prefazione ai requisiti e alle Procedure di valutazione della sicurezza dettagliate:
1. Descrizione dell'ambito della revisione
Descrivere l'ambito della revisione, in base alla sezione Ambito del programma PA-DSS precedente
Tempi di convalida
Versione PA-DSS utilizzata per la valutazione
Elenco della documentazione sottoposta a revisione
2. Riepilogo esecutivo
Includere quanto segue:
Nome del prodotto
Versione del prodotto e piattaforme correlate interessate
Elenco di rivenditori e/o responsabili dell'integrazione di questo prodotto
Sistemi operativi su cui è stata testata l'applicazione di pagamento
Software di database utilizzato o supportato dall'applicazione di pagamento
Breve descrizione dell'applicazione di pagamento/della famiglia di prodotti (2-3 frasi)
Diagramma della rete di una tipica implementazione dell'applicazione di pagamento (non necessariamente un'implementazione
specifica presso la sede di un cliente) che include, ad alto livello:
- Connessioni in entrata e in uscita della rete del cliente
- Componenti all'interno della rete del cliente, inclusi dispositivi POS, sistemi, database e server Web, come applicabile
- Altre applicazioni di pagamento o altri componenti necessari, come applicabile
Descrizione o diagramma di ciascuna parte del link di comunicazione, incluse (1) LAN, WAN o Internet, (2) comunicazione software
host-to-host e (3) all'interno di host dove il software viene distribuito (ad esempio, come due diversi processi comunicano sullo stesso
host)
Un diagramma del flusso dei dati che mostra tutti i flussi di dati di titolari di carta, inclusi i flussi di autorizzazione, acquisizione,
contabilizzazione e rettifica, come applicabile
PCI PA-DSS Requisiti e procedure di valutazione della sicurezza v2.0 Pagina 15
Copyright © 2010 PCI Security Standards Council LLC Ottobre 2010 Breve descrizione di file e tabelle che memorizzano i dati di titolari di carta, supportata da un inventario creato (od ottenuto dal
fornitore del software) e conservato dal PA-QSA nei documenti; questo inventario deve includere, per ciascuna memorizzazione di
dati di titolari di carta (file, tabella, eccetera):
- Elenco di tutti gli elementi di dati di titolari di carta memorizzati
- Modalità di protezione dei dati memorizzati
- Modalità di registrazione dell'accesso ai dati memorizzati
Elenco di tutti i componenti software correlati all'applicazione di pagamento, inclusi requisiti e dipendenze di software di terze parti
Descrizione dei metodi di autenticazione end-to-end dell'applicazione di pagamento, incluso il meccanismo di autenticazione
dell'applicazione, il database di autenticazione e la memorizzazione di dati di sicurezza
Descrizione del ruolo dell'applicazione di pagamento in una tipica implementazione e quali altri tipi di applicazioni di pagamento sono
necessari per un'implementazione completa
Descrizione del tipico cliente al quale viene venduto questo prodotto (ad esempio, aziende di grandi e Nota: Appendice B:
piccole dimensione, specifiche o meno del settore, su Internet, brick-and-mortar) e la base del cliente Conferma della
del fornitore (ad esempio, segmento di mercato, nomi di clienti importanti). configurazione del
Definizione della metodologia di versioning del fornitore, per descrivere/illustrare come il fornitore laboratorio di test specifica
indica le modifiche della versione di maggiore e minore entità mediante i numeri di versione e per per la valutazione PA-DSS
definire i tipi di modifica che il fornitore include nelle modifiche della versione. deve essere completata e
inviata insieme al rapporto
3. Risultati e osservazioni PA-DSS completato.
Tutti i PA-QSA devono utilizzare il seguente modello per fornire descrizioni e risultati dettagliati del
rapporto.
Descrivere i test eseguiti diversi da quelli inclusi nella colonna delle procedure di test.
Se il valutatore stabilisce che un requisito non è applicabile per una determinata applicazione di pagamento, si deve inserire una
spiegazione nella colonna ―Presente‖ per il requisito in questione.
4. Informazioni di contatto e data del rapporto
Informazioni sulla persona del fornitore del software da contattare (includere URL, numero di telefono e indirizzo e-mail)
Informazioni sul PA-QSA (includere URL, numero di telefono e indirizzo e-mail)
Informazioni sulla persona responsabile del controllo qualità (QA) del PA-QSA da contattare (includere nome, numero di telefono e
indirizzo e-mail)
Data del rapporto
PCI PA-DSS Requisiti e procedure di valutazione della sicurezza v2.0 Pagina 16
Copyright © 2010 PCI Security Standards Council LLC Ottobre 2010Operazioni di completamento del programma PA-DSS
Questo documento contiene la tabella dei requisiti e delle Procedure di valutazione della sicurezza, nonché l'Appendice B: Conferma della
configurazione del laboratorio di test specifica per la valutazione PA-DSS. I requisiti e le Procedure di valutazione della sicurezza descrivono
dettagliatamente le procedure che deve eseguire il PA-QSA. L'Appendice B: Conferma della configurazione del laboratorio di test specifica per la
valutazione PA-DSS deve essere completata dal PA-QSA per confermare lo stato e le capacità del laboratorio di test utilizzato per eseguire la
valutazione di conformità agli standard PA-DSS.
Il PA-QSA deve effettuare le seguenti operazioni:
1. Completare il Rapporto di convalida utilizzando questo documento come modello.
a. Completare la prefazione del Rapporto di convalida, in base alla sezione "Istruzioni e contenuto del rapporto di convalida".
b. Completare e documentare tutte le operazioni definite in dettaglio nei requisiti e nelle Procedure di valutazione della sicurezza,
inclusa una breve descrizione dei controlli verificati nella colonna ―Presente‖, e inserire eventuali commenti. Tenere presente che un
rapporto con voci contrassegnate come "Non presenti" deve essere inviato a PCI SSC solo dopo che tutte le voci sono state
contrassegnate come "Presenti".
2. Completare l'Appendice B: Conferma della configurazione del laboratorio di test specifica per la valutazione PA-DSS.
3. Completare e firmare un Attestato di convalida (entrambi, PA-QSA e fornitore del software). L'Attestato di convalida è disponibile sul sito
Web PCI SSC (www.pcisecuritystandards.org).
4. Dopo il completamento, inviare tutti i documenti precedenti a PCI SSC in base alle istruzioni fornite nella Guida del programma PA-DSS.
Guida del programma PA-DSS
Fare riferimento alla Guida del programma PA-DSS per informazioni sulla gestione del programma PA-DSS, inclusi i seguenti argomenti:
Processi di invio e accettazione del rapporto PA-DSS
Processo di revisione annuale delle applicazioni di pagamento incluse nell'Elenco di applicazioni convalidate in base al programma PA-
DSS
Trasferimento di applicazioni convalidate in base al programma PABP nell'Elenco di applicazioni di pagamento convalidate in base al
programma PA-DSS
Responsabilità di notifica nel caso in cui un'applicazione presente in elenco venga compromessa.
PCI SSC si riserva il diritto di richiedere la riconvalida in seguito a modifiche significative degli standard PA-DSS e/o in
seguito all'identificazione di vulnerabilità specifiche di una delle applicazioni di pagamento presenti in elenco.
PCI PA-DSS Requisiti e procedure di valutazione della sicurezza v2.0 Pagina 17
Copyright © 2010 PCI Security Standards Council LLC Ottobre 2010Requisiti PCI DSS e procedure di valutazione della sicurezza
Non Data di
present scadenza/Co
Requisiti PA-DSS Procedure di test Presente e mmenti
1. Non conservare i dati della striscia magnetica, il valore o il codice di verifica della carta (CAV2, CID, CVC2, CVV2) o i dati del
blocco PIN
1.1 Non memorizzare dati sensibili di 1.1.a Se questa applicazione di pagamento memorizza dati
autenticazione dopo l'autorizzazione (anche se sensibili di autenticazione, verificare che l'applicazione sia
crittografati). destinata solo ad emittenti e/o a società che supportano
I dati sensibili di autenticazione includono i dati citati servizi di emissione.
nei seguenti Requisiti da 1.1.1 a 1.1.3. 1.1.b Per tutte le altre applicazioni di pagamento, se i dati
Note: sensibili di autenticazione (vedere i sucessivi punti da 1.1.1 a
1.1.3) vengono memorizzati prima dell'autorizzazione e
il divieto di memorizzare dati sensibili di quindi eliminati, richiedere e riesaminare la metodologia per
autenticazione dopo l'autorizzazione la cancellazione dei dati per stabilire che i dati non possono
presuppone che la transazione abbia essere recuperati in alcun modo.
completato il processo di autorizzazione e il
cliente abbia ricevuto l'approvazione finale della 1.1.c Per ciascun elemento dei dati sensibili di autenticazione
transazione. Una volta completata di seguito indicato, effettuare le seguenti operazioni dopo
l'autorizzazione, questi dati sensibili di aver completato diverse transazioni di prova che simulano
autenticazione non possono essere tutte le funzioni dell'applicazione di pagamento, per includere
memorizzati. la generazione di condizioni di errore e voci di registro.
Ad Emittenti e società che supportano servizi di
emissione è consentita la memorizzazione di
dati sensibili di autenticazione in presenza di
una giustificazione aziendale ed i dati vengono
memorizzati in modo sicuro.
In linea con il Requisito 3.2 PCI DSS
PCI PA-DSS Requisiti e procedure di valutazione della sicurezza v2.0 Pagina 18
Copyright © 2010 PCI Security Standards Council LLC Ottobre 2010Non Data di
present scadenza/Co
Requisiti PA-DSS Procedure di test Presente e mmenti
1.1.1 Dopo l'autorizzazione, non memorizzare 1.1.1 Utilizzare strumenti e metodi forensi (strumenti
3
l'intero contenuto delle tracce della striscia commerciali, script, ecc.) per esaminare tutto l'output creato
magnetica (presente sul retro della carta, dati dall'applicazione di pagamento e verificare che, non sia
equivalenti contenuti in un chip o in altro memorizzato, dopo l'autorizzazione, l'intero contenuto di ogni
luogo). Questi dati sono denominati anche traccia dalla striscia magnetica della carta o dati equivalenti
traccia completa, traccia, traccia 1, traccia 2 e in un chip. Includere almeno i seguenti tipi di file (nonché altro
dati di striscia magnetica. output generato dall'applicazione di pagamento):
Nota: Nel normale svolgimento delle attività, è Dati di transazioni in entrata
possibile che sia necessario conservare i Tutti i registri (ad esempio, transazioni, cronologia,
seguenti elementi di dati della striscia magnetica: debug o errori)
Nome del titolare del conto File di cronologia
PAN (Primary Account Number) File di traccia
Data di scadenza, e
Codice di servizio Memoria non volatile, inclusa la cache non volatile
Schemi di database
Per ridurre al minimo il rischio, memorizzare solo
gli elementi di dati necessari. Contenuto di database
In linea con il Requisito 3.2.1 PCI DSS
3
Strumento o metodo forense: uno strumento o un metodo per rilevare, analizzare e presentare dati forensi, che consentono di autenticare, ricercare e
recuperare una prova su computer in modo rapido ed esauriente. Nel caso di strumenti o metodi forensi utilizzati dai PA-QSA, questi strumenti o metodi
devono individuare accuratamente eventuali dati sensibili di autenticazione scritti dall'applicazione di pagamento. Tali strumenti possono essere commerciali,
open-source o sviluppati in-house dal PA-QSA.
PCI PA-DSS Requisiti e procedure di valutazione della sicurezza v2.0 Pagina 19
Copyright © 2010 PCI Security Standards Council LLC Ottobre 2010Non Data di
present scadenza/Co
Requisiti PA-DSS Procedure di test Presente e mmenti
1.1.2 Dopo l'autorizzazione, non memorizzare il 1.1.2 Utilizzare strumenti e metodi forensi (strumenti
codice o il valore di validazione della carta commerciali, script, ecc.) per esaminare tutto l'output creato
(numero di tre o quattro cifre stampato sulla dall'applicazione di pagamento e verificare che il codice di
parte anteriore o posteriore della carta di validazione della carta a tre o quattro cifre stampato sulla
pagamento) utilizzato per verificare le transazioni parte anteriore della carta o nel riquadro della firma (dati
con carta non presente. CVV2, CVC2, CID, CAV2) non sia memorizzato dopo
l'autorizzazione. Includere almeno i seguenti tipi di file
In linea con il Requisito 3.2.2 PCI DSS (nonché altro output generato dall'applicazione di
pagamento):
Dati di transazioni in entrata
Tutti i registri (ad esempio, transazioni, cronologia,
debug o errori)
File di cronologia
File di traccia
Memoria non volatile, inclusa la cache non volatile
Schemi di database
Contenuto di database
1.1.3 Dopo l'autorizzazione, non memorizzare il 1.1.3 Utilizzare strumenti e metodi forensi (strumenti
numero di identificazione personale (PIN) o il commerciali, script, ecc.) per esaminare tutto l'output creato
blocco PIN cifrato. dall'applicazione di pagamento e verificare che i PIN e i
blocchi PIN cifrati non siano memorizzati dopo
In linea con il Requisito 3.2.3 PCI DSS l'autorizzazione. Includere almeno i seguenti tipi di file
(nonché altro output generato dall'applicazione di
pagamento):
Dati di transazioni in entrata
Tutti i registri (ad esempio, transazioni, cronologia,
debug o errori)
File di cronologia
File di traccia
Memoria non volatile, inclusa la cache non volatile
Schemi di database
Contenuto di database
PCI PA-DSS Requisiti e procedure di valutazione della sicurezza v2.0 Pagina 20
Copyright © 2010 PCI Security Standards Council LLC Ottobre 2010Non Data di
present scadenza/Co
Requisiti PA-DSS Procedure di test Presente e mmenti
1.1.4 Eliminare in modo sicuro i dati della striscia 1.1.4.a Rivedere la Guida per l'implementazione del
magnetica, i codici o valori di verifica della carta, programma PA-DSS preparata dal fornitore e verificare che
i PIN e i blocchi PIN memorizzati da precedenti includa le seguenti istruzioni per i clienti e i
versioni dell'applicazione di pagamento, in rivenditori/responsabili dell'integrazione:
conformità con gli standard per l'eliminazione I dati cronologici devono essere rimossi (dati della
sicura accettati dal settore, come definito, ad striscia magnetica, codici di verifica della carta, PIN o
esempio, dall'elenco dei prodotti approvati gestito blocchi PIN memorizzati da precedenti versioni
dalla National Security Agency (NSA) o da dell'applicazione di pagamento)
qualsiasi altro ente che gestisce standard o
normative statale o nazionale.
Modalità di rimozione dei dati cronologici
Tale rimozione è assolutamente necessaria per
Nota: questo requisito è valido se le precedenti garantire la conformità agli standard PCI DSS
versioni dell'applicazione di pagamento
1.1.4.b Verificare se il fornitore fornisce uno strumento o una
prevedevano la memorizzazione di dati sensibili
di autenticazione. procedura per la pulizia sicura per rimuovere i dati.
1.1.4.c Verificare, mediante l'uso di strumenti e metodi
forensi, che lo strumento o la procedura di pulizia sicura
In linea con il Requisito 3.2 PCI DSS
rimuova in modo appropriato i dati, in base agli standard per
l'eliminazione sicura dei dati accettati dal settore.
1.1.5 Eliminare in modo sicuro tutti i dati sensibili 1.1.5.a Esaminare le procedure del fornitore del software per
di autenticazione (dati precedenti risolvere eventuali problemi dei clienti e verificare che le
all'autorizzazione) utilizzati per operazioni di procedure includano:
debug o risoluzione di problemi da file di log, file Raccolta di dati sensibili di autenticazione solo quando
di debugging e altri file di dati ricevuti dai clienti, necessario per risolvere un problema specifico
per accertarsi che i dati della striscia magnetica, i Memorizzazione di tali dati solo in posizioni specifiche e
valori o codici di verifica della carta, i PIN o i note con accesso limitato
blocchi PIN non siano memorizzati sui sistemi
del fornitore del software. Questi dati devono
Raccolta solo della quantità di dati limitata necessaria
per risolvere un problema specifico
essere raccolti in quantità limitate e solo quando
necessario per risolvere un problema, cifrati Cifratura dei dati sensibili di autenticazione al momento
quando memorizzati ed eliminati della memorizzazione
immediatamente dopo l'uso. Eliminazione sicura di tali dati immediatamente dopo
In linea con il Requisito 3.2 PCI DSS l'uso
1.1.5.b Selezionare un campione di recenti richieste di
risoluzione di problemi inviate dai clienti e verificare che
ciascun evento abbia seguito la procedura descritta al punto
1.1.5.a.
PCI PA-DSS Requisiti e procedure di valutazione della sicurezza v2.0 Pagina 21
Copyright © 2010 PCI Security Standards Council LLC Ottobre 2010Puoi anche leggere
