I rivenditori e i negozi online sono uno dei bersagli preferiti dagli hacker. E per una buona ragione. Perché una violazione di successo di un sistema di carte di pagamento può portare loro un enorme guadagno finanziario. Tuttavia, nonostante i rischi, gli esercenti stanno ancora lottando per soddisfare i requisiti di sicurezza delle carte di pagamento - dove, secondo il Rapporto 2020 sulla sicurezza dei pagamenti di Verizon, solo il 27,9% delle organizzazioni è attualmente in grado di mantenere la piena conformità con il Payment Card Industry Data Security Standard (PCI DSS). Allo stesso tempo, il numero di pagamenti con carta e senza contatto continua ad aumentare, poiché le preferenze dei consumatori cambiano costantemente a favore della plastica, dei portafogli mobili e dello shopping online.
Non solo, ma anche il settore della vendita al dettaglio è alle prese con una rivoluzione digitale, in quanto migra le proprie applicazioni da un hardware statico on-premise a un'infrastruttura complessa, scalabile ed elastica basata sul cloud. Questi nuovi ambienti informatici dinamici richiedono uno spostamento dell'attenzione dai metodi di cybersecurity convenzionali verso la protezione dei singoli carichi di lavoro, la sicurezza delle API e la gestione della configurazione.
Questo post illustra i requisiti di Conformità del PCI-DSS e le implicazioni che hanno per i sistemi di carte di pagamento ospitati nei moderni ambienti hybrid-cloud e multi-cloud. Quindi iniziamo.
Il PCI-DSS è uno standard di elaborazione delle informazioni che fornisce un quadro per la protezione delle transazioni con carta di pagamento e dei dati dei titolari di carta dai truffatori.
Specifica una serie di misure di base che deve mettere in atto per ridurre al minimo il rischio di compromissione dei dati dei titolari di carta.
Lo standard si applica a qualsiasi azienda o organizzazione che accetta o elabora pagamenti con carta. Quindi riguarda soprattutto le attività di vendita al dettaglio e tutte le aziende che forniscono software o hardware utilizzati per elaborare le transazioni.
Si differenzia in modo significativo dalle leggi sulla privacy dei dati, come il Regolamento generale sulla protezione dei dati (GDPR), che interessano anche il settore della vendita al dettaglio e dell'e-commerce.
Per esempio, il PCI-DSS è uno standard orientato alla sicurezza. Al contrario, la sicurezza è solo una parte dei regolamenti sulla protezione dei dati, che coprono anche aspetti della privacy, come gli avvisi sulla privacy sui siti web, il consenso ad aggiungere i dati dei clienti alle mailing list e le richieste di diritto di accesso da parte dei consumatori.
Il PCI-DSS è stato sviluppato anche dal Payment Card Industry Security Standards Council (PCI SSC), un'organizzazione amministrativa formata da processori di reti di pagamento commerciali . Tuttavia, le leggi sulla privacy dei dati sono gestite da enti governativi, a livello statale, nazionale o internazionale.
Il PCI-DSS definisce diversi percorsi di Conformità, ognuno dei quali corrisponde a uno dei quattro diversi livelli di Conformità. Il numero di transazioni elaborate all'anno determina il suo particolare livello di Conformità.
Le società di carte di pagamento possono, a loro discrezione, emettere multe per la mancata conformità con gli standard PCI-DSS. Inoltre, è probabile che una violazione del PCI-DSS costituisca anche una violazione della legislazione sulla privacy applicabile, come il GDPR o il California Consumer Privacy Act (CCPA). E potenzialmente anche le leggi statali, come il Plastic Card Security Act del Minnesota.
Quindi, in caso di violazione, può essere soggetto a una moltitudine di sanzioni e pene finanziarie diverse.
La Conformità PCI-DSS specifica dodici requisiti tecnici e operativi, come segue.
Un firewall è la sua prima linea di difesa, che impedisce al traffico potenzialmente dannoso di entrare nella sua rete sulla base di una serie di regole preconfigurate.
Tuttavia, i firewall tradizionali basati sul perimetro non sono più sufficienti per proteggere le sue risorse cloud, poiché non esiste un confine chiaro tra i suoi utenti e la rete interna.
Per superare questo problema, è necessario un firewall cloud. Funziona come un firewall convenzionale, ma è stato specificamente adattato alla natura distribuita del cloud, dove le applicazioni sono suddivise in componenti discreti dispersi nell'ambiente di rete.
I fornitori di router, sistemi POS e componenti correlati forniscono le loro apparecchiature con nomi utente, password e configurazioni predefinite, per rendere l'installazione e la configurazione più rapida e semplice possibile.
Questo rende un bersaglio facile per i criminali informatici.
Queste impostazioni di fabbrica sono facilmente accessibili ai truffatori, che le sfruttano per accedere alla rete interna e rubare i dati dei titolari di carta. Quindi, utilizzi solo le sue credenziali di accesso e le sue configurazioni uniche per tenere lontani gli hacker.
Faccia attenzione anche all'utilizzo di altre configurazioni predefinite, come le autorizzazioni di accesso. I team CloudSecOps devono assicurarsi che le loro applicazioni e i loro carichi di lavoro cloud non siano eccessivamente permissivi e concedano solo il livello di accesso necessario alle risorse sensibili per ridurre la superficie di attacco.
Il modo migliore per proteggere le informazioni dei titolari di carta è semplicemente quello di evitare di conservarle completamente. Tuttavia, se ne ha bisogno per scopi commerciali o legali, dovrebbe prendere provvedimenti per renderlo illeggibile.
Il metodo più comune e pratico per raggiungere questo obiettivo è quello di criptare i suoi dati. Per essere conforme agli standard PCI-DSS, qualsiasi crittografia di questo tipo deve utilizzare l'algoritmo AES-256, standard del settore.
Ma si ricordi che i suoi dati sono sicuri solo quanto le chiavi che utilizza per crittografarli. Quindi deve anche salvaguardare le sue chiavi di crittografia utilizzando un sistema di gestione delle chiavi efficace.
Ed è anche importante avere un quadro chiaro di quali dati dei titolari di carta state conservando, in primo luogo, tipicamente attraverso l'uso di strumenti di data discovery e di un inventario dei vostri asset di dati.
Si assicuri di configurare correttamente ciascuno dei suoi ambienti cloud e on-premises per crittografare i dati dei titolari di carta, utilizzando la sicurezza del livello di trasporto (TLS), quando si muovono su Internet tra le diverse parti del suo ecosistema di carte di pagamento. Consideri di investire in una soluzione completa di sicurezza di retecloud per i cloud pubblici e ibridi.
Tenga anche presente che i pagamenti tramite dispositivi mobili sono particolarmente a rischio. Si assicuri quindi che ogni rete wireless utilizzi una password forte e l'ultimo protocollo di sicurezza Wi-Fi disponibile.
Il suo software antivirus (AV) deve essere in grado di proteggere tutti gli ambienti che ospitano il suo sistema di carte di pagamento, attraverso la sua infrastruttura ibridacloud o multicloud.
Ma è anche importante essere consapevoli dei limiti del software AV.
Nuovi e più sofisticati tipi di minacce si sono evoluti per colpire l'implementazione basata sul cloud. Di conseguenza, ora è necessaria una gamma più ampia di approcci alla sicurezza per proteggere i dati dei titolari di carta, come la gestione della postura diCloud Security (CSPM) e la protezione del carico di lavoro nel cloud.
Lo scopo del Requisito 6 è quello di garantire la sicurezza nei processi di sviluppo e di ciclo di vita dell'applicazione. Questo include il supporto per le pratiche di codifica sicura attraverso la formazione, le linee guida e le liste di controllo, nonché le revisioni regolari di qualsiasi codice di applicazione interna o personalizzata.
Copre anche la gestione delle patch, dove le disposizioni degli standard PCI-DSS stabiliscono che è necessario installare le patch critiche al software di terze parti entro un mese dal rilascio per mantenere la Conformità.
Dovrebbe limitare al minimo il numero di persone che possono accedere ai dati dei titolari di carta, consentendo di farlo solo a coloro che hanno una legittima necessità commerciale.
Il modo più pratico per farlo è implementare un sistema di controllo degli accessi basato sui ruoli (RBAC), che dovrebbe concedere l'accesso alle risorse sensibili, come i dati dei titolari di carta, in base al principio del minor privilegio.
Ogni utente autorizzato dei suoi sistemi deve avere un ID e una password unici. In questo modo si assicura di conoscere sempre l'identità di chiunque acceda ai dati dei titolari di carta in qualsiasi momento.
Tenga anche presente che gli standard PCI-DSS ora consentono solo agli utenti con privilegi amministrativi di accedere in remoto utilizzando l'autenticazione a due fattori (2FA).
Quando ospita un'applicazione nel cloud pubblico, scarica la responsabilità della sicurezza fisica dei suoi server al fornitore di servizi cloud. Tuttavia, lei ha ancora la responsabilità di garantire la sicurezza fisica del suo dispositivo endpoint.
Dovrebbe quindi adottare misure per prevenire l'accesso non autorizzato ai dispositivi di pagamento e alle postazioni di lavoro, attraverso misure come la videosorveglianza, le politiche e le procedure di sicurezza, la formazione del personale, i controlli di blocco a tempo e l'assicurazione che gli schermi siano lontani dalla vista del pubblico.
La registrazione e il monitoraggio degli accessi al suo sistema di carte di pagamento la aiuteranno a individuare i primi segnali di attività sospette e le forniranno avvisi e approfondimenti quando le cose vanno male.
Le esigenze in quest'area si sono evolute dalla semplice visibilità all'osservabilità, non solo per mantenere la visibilità su tutti i componenti di elaborazione delle carte, ma anche per identificare e risolvere rapidamente eventuali problemi. Per raggiungere questo obiettivo, potrebbe essere necessario cercare strumenti di monitoraggio di nuova generazione che offrano una visibilità centralizzata sulla sua infrastruttura hybrid-cloud e multi-cloud.
A complemento di altre misure di sicurezza, come la scansione AV e la gestione delle patch, dovrebbe verificare regolarmente che il suo sistema di carte di pagamento sia abbastanza robusto da resistere alle potenziali minacce.
Ciò comporterà strumenti automatizzati, come la scansione delle vulnerabilità, e approcci manuali, come i test di penetrazione. Altre procedure di verifica dovrebbero includere controlli regolari sui lettori di carte per verificare la presenza di software di skimming e processi per identificare punti di accesso wireless non autorizzati. Se necessario, deve intraprendere un'azione correttiva di conseguenza.
Una politica di sicurezza delle informazioni ben documentata e ben comunicata aiuterà a sensibilizzare il personale sui rischi per i dati dei titolari di carta e sulle loro responsabilità nel proteggerli.
Le politiche e le procedure pertinenti devono essere incorporate anche nei manuali per i dipendenti, negli accordi con i fornitori terzi, nelle valutazioni del rischio e nei piani di risposta agli incidenti.
La conformità PCI-DSS è una necessità per qualsiasi organizzazione che accetta pagamenti con carta. Ma, pur dimostrando di aver soddisfatto i requisiti di base per la gestione dei dati dei titolari di carta, non garantisce necessariamente una protezione totale.
Inoltre, la trasformazione digitale e la migrazione al cloud hanno spostato gli obiettivi della sicurezza. Quindi è necessario guardare oltre gli esercizi di spunta e i metodi tradizionali di sicurezza.
Ciò richiede nuove soluzioni che si adattino alla natura complessa e dinamica della distribuzione ibrida e multi-cloud.
Ad esempio, dovrebbe prendere in considerazione una piattaforma di protezione dei carichi di lavoro nel cloud (CWPP), che protegge le singole applicazioni e i processi e le risorse che le supportano. Dovrebbe integrare il tutto con una soluzione di Cloud Security Posture Management (CSPM), in grado di identificare i rischi per la sicurezza attraverso il monitoraggio continuo e il benchmarking delle configurazioni rispetto alle best practice e ai requisiti di conformità.
E dovrebbe anche proteggere i titolari di carta dalle nuove e sempre più sofisticate minacce di oggi, con una soluzione che offra funzionalità di sicurezza della rete cloud.
Soprattutto, dovrebbe cercare strumenti che forniscano una protezione continua, piuttosto che limitarsi a ottenere la Conformità una volta all'anno, con una visibilità unificata su tutti i componenti del suo sistema di carte di pagamento da un unico pannello di vetro.