Home Standard Settori ✦ Valutazione IA Richiedi un preventivo →
HomeStandard → PCI DSS

PCI DSS — Standard di Sicurezza dei Dati per l'Industria delle Carte di Pagamento

Lo standard di sicurezza obbligatorio per tutte le organizzazioni che archiviano, elaborano o trasmettono dati di carte di pagamento. BALTUM supporta commercianti, processori di pagamento e fornitori di servizi nella conformità al PCI DSS v4.0 — dall'autovalutazione SAQ fino agli incarichi completi di Report on Compliance (ROC).

PCI DSS v4.0Sicurezza dei pagamentiSAQROCDati del titolare di carta

Che cos'è il PCI DSS?

Il Payment Card Industry Data Security Standard (PCI DSS) è un insieme di requisiti di sicurezza stabiliti dal PCI Security Standards Council (PCI SSC) — fondato da American Express, Discover, JCB, Mastercard e Visa. Il PCI DSS v4.0, pubblicato a marzo 2022, è attualmente lo standard in vigore (la versione 3.2.1 è stata ritirata a marzo 2024).

La conformità è obbligatoria per qualsiasi organizzazione che archivi, elabori o trasmetta dati del titolare di carta — indipendentemente dal volume delle transazioni. La mancata conformità può comportare sanzioni, aumento delle commissioni sulle transazioni e perdita del diritto di accettare carte.

Livelli di conformità PCI DSS

  • Livello 1 — Commercianti che elaborano oltre 6 milioni di transazioni/anno; richiede ROC annuale da parte di un QSA e scansione di rete trimestrale.
  • Livello 2 — 1–6 milioni di transazioni/anno; SAQ annuale e scansione trimestrale.
  • Livello 3 — 20.000–1 milione di transazioni e-commerce; SAQ annuale e scansione trimestrale.
  • Livello 4 — Meno di 20.000 transazioni e-commerce o fino a 1 milione di altre transazioni; SAQ annuale consigliato.

Principali novità del PCI DSS v4.0

  • Opzione di approccio personalizzato per organizzazioni con controlli maturi
  • Nuovi requisiti per MFA resistente al phishing
  • Requisiti ampliati per la sicurezza delle pagine e-commerce e di pagamento (Requisito 6.4)
  • Nuovi requisiti di analisi del rischio mirata
  • 64 nuovi requisiti con data futura (obbligatori da marzo 2025)

Incarico PCI DSS di BALTUM

  • Definizione dell'ambito e mappatura dell'ambiente dati del titolare di carta (CDE)
  • Gap analysis rispetto ai requisiti PCI DSS v4.0
  • Roadmap di remediation e supporto all'implementazione dei controlli
  • Supporto alla compilazione del SAQ (SAQ A, A-EP, B, C, D secondo applicabilità)
  • Preparazione del ROC e coordinamento QSA per commercianti di Livello 1
  • Coordinamento delle scansioni trimestrali di vulnerabilità ASV

Integrazione con la ISO 27001

Il PCI DSS e la ISO 27001 condividono una significativa sovrapposizione di controlli in materia di controllo degli accessi, gestione delle vulnerabilità, registrazione e monitoraggio e risposta agli incidenti. Il programma integrato di BALTUM mappa entrambi gli insiemi di requisiti su un framework di controllo unificato — riducendo al minimo le duplicazioni e abbattendo il costo complessivo della conformità.