2.4.07

Standard di sicurezza per le carte di credito

Quando i clienti danno la loro carta di credito a un esercente o quando pagano via Internet o per telefono, vogliono avere la sicurezza che le informazioni sul loro conto siano al sicuro. È per questo motivo che American Express, Discover Financial Services, JCB, MasterCard Worldwide, e Visa International hanno unito i loro sforzi per formare il PCI Security Standards Council con lo scopo di migliorare la sicurezza dei dati dei conti di pagamento promuovendo l’adozione del PCI Data Security Standards.
Lo standard è una pattaforma unica che incorpora le direttive di sicurezza che già ogni azienda di carte di credito richiedeva di implementare a chi gestisse le transazioni, come ad esempio l’SDP Program per Mastercard e il Cardholder Information Security Program (CISP), già in uso da alcuni anni.
Con la crescente quantità di dati che inonda la rete, crescente proporzionalmente anche la minaccia di frodi online perpetrate grazie al furto di informazioni.
Il PCI data security standard è un set di specifiche progettato per prevenire le frodi e protegere la privacy dei consumatori laddove informazioni sensibili siano trasmesse sulla rete e memorizzate nella rete di un’azienda.
Tutte le istituzioni finanziarie, gli esercenti, le aziende che emettono carte di credito, che utilizzino componenti di sistema (“system components" nella definizione dello standard) per memorizzare, elaborare e trasmettere i dati dei possessori di carte di credito sulla rete dovranno rispettare lo standard PCI.
Nel giugno 2006 il PCI ha rilasciato la versione 1.1 del DSS e ne chiede l’implementazione entro la metà del 2008: ogni azienda di carte di credito ha comunque stabilito una serie di sanzioni e multe associate alla non adeguatezza allo standard, con lo scopo di incoraggiarne la messa in opera.
I requisiti di sicurezza descritti si applicano a tutte le componenti del sistema, ovvero a tutti gli elementi della rete, ai server e anche alle applicazioni coinvolte nel processo di gestione dei dati del cliente: sono 12 regole suddivise in 6 macroaree:

Costruire e gestire una rete sicura
o Requisito 1: Installare e gestire una configurazione con firewall per proteggere i dati associati alle carte di credito
o Requisito 2: non utilizzare le password di default fornite dai produttori per gli utenti di sistema e per alter configurazioni di sicurezza
Protezione dei dati del possessore della carta
o Requisito 3: Proteggere i dati memorizzati del possessore della carte
o Requisito 4: crittografare le trasmissioni dei dati sulle reti aperte e
Mantenere un programma di gestione delle vulnerabilità
o Requisito 5: utilizzare e aggiornare regolarmente programme antivirus
o Requisito 6: sviluppare e mantenere sistemi e applicazioni sicure
Implementare misure di controllo degli accessi forti e secure
o Requisito 7: restringere l’accesso ai dati dei clienti in base alle necessità di business
o Requisito 8: assegnare un ID unico a chiunque abbia l’accesso ai sistemi informativi
o Requisito 9: restringere l’accesso fisico ai dati dei clienti
Monitorare e verificare regolarmente la rete
o Requisito 10: tracciare e monitorare tutti gli accessi alle risorse di rete e ai dati dei possessori di carte di credito
o Requisito 11: verificare regolarmente i sistemi e i processi di sicurezza
o Maintain an Information Security Policy
o Requisito 12: mantenere una policy di sicurezza per dipendenti e consulenti

Sebbene la maggior parte dei requisiti non introduca nessuna novità riguardo quanto dovrebbe già essere normalmente applicato dalle aziende che gestiscono i dati dei possessori di carte di credito, alcuni sono invece più difficilmente implementabili, e richiedono nuovi sistemi di verifica della sicurezza: il punto 10, ad esempio, richiede di tracciare e monitorare gli accessi alle risorse di rete e ai dati dei possessori di carte di credito. Normalmente l’operazione di tracciamento (o di scrittura di un log o di un audit trail) viene effettuata per le transazioni, e raramente per le operazioni di interrogazione, che sono invece quelle che danno origine alla fuga di informazioni e quindi al furto di identità e alla frode.
Per correre ai ripari si possono percorrere due strade alternative: la prima prevede di modificare i programmi attualmente in produzione, inserendo l’attività di memorizzazione anche degli accessi di sola lettura ai record relativi ai dati delle carte di credito; si parla di un’attività di modifica non del tutto esente da rischi (come avviene ogni qualvolta si modifiche un programma in un ambiente di produzione). La seconda possibilità è offerta da quegli strumenti che si affiancano ai sistemi correntemente in uso e che permettono di catturare ogni tipo di attività verso un mainframe, un server, un web server e similari, e di memorizzarla in un database separato, consentendo sia controlli in tempo reale che a posteriori.
Anche il punto 6, che concerne lo sviluppo e il mantenimento di sistemi e applicazioni sicure, costituisce una delle sfide più ardue da affrontare: sebbene, infatti, esistano prassi consolidate per implementare sistemi sicuri dal punto di vista del layer operativo, sussistono approcci diversi per la protezione dell’ambiente applicativo. Sarà quindi necessario implementare sistemi di sicurezza anche a questo livello, per assicurare che tutte le informazioni sensibili siano protette.
In questo ambito trovano spazio i prodotti di Web Application Security che, secondo un recente rapporto di Forrester Research, sono ancora poco adottati, ma incontreranno un utilizzo sempre crescente nelle aziende, soprattutto in quelle finanziarie.

Nessun commento: