Far rispettare e segnalare la conformità alla PCI DSS v4 con Rapid7

Il PCI Security Standards Council (PCI SSC) è un forum globale che mette in contatto stakeholders del settore dei pagamenti e dell’elaborazione dei pagamenti per facilitare l’adozione di standard di sicurezza dei dati e risorse pertinenti che consentono pagamenti sicuri in tutto il mondo.

Secondo il sito web del PCI SSC, “gli Standard di Sicurezza PCI sono sviluppati specificamente per proteggere i dati del conto di pagamento durante tutto il ciclo di pagamento e per consentire soluzioni tecnologiche che svalutano questi dati e rimuovono l’incentivo per i criminali di rubarli. Essi includono standard per commercianti, fornitori di servizi e istituti finanziari sulle pratiche di sicurezza, le tecnologie e i processi, e standard per sviluppatori e fornitori per la creazione di prodotti e soluzioni di pagamento sicure.”

Forse lo standard più riconoscibile del PCI, il loro Data Security Standard (PCI DSS), è uno standard globale che fornisce un insieme di requisiti tecnici e operativi progettati per proteggere i dati del conto. A marzo 2022, il PCI SSC ha pubblicato la versione v4.0, che sostituisce la versione v3.2.1. Questa versione aggiornata affronta le minacce e le tecnologie emergenti, consentendo metodi innovativi per combattere le nuove minacce. Questo articolo coprirà le modifiche allo standard apportate con la versione 4.0 insieme a una panoramica generale di come Rapid7 aiuta i team a garantire che le loro applicazioni basate su cloud possano implementare ed far rispettare in modo efficace la conformità.

Cosa c’è di nuovo con la versione 4.0 e perché è importante ora?

Allora, perché stiamo parlando del nuovo standard quasi due anni dopo la sua pubblicazione? Questo perché quando lo standard è stato pubblicato le organizzazioni hanno avuto un periodo di transizione di due anni per adottare la nuova versione e implementare le modifiche richieste dalla v4.0. Durante questo periodo di transizione, alle organizzazioni è stata data la possibilità di valutare la conformità rispetto sia alla PCI DSS v4.0 che alla PCI DSS v3.2.1.

Per coloro che non hanno ancora fatto il salto, il momento è adesso. Questo perché il periodo di transizione è terminato il 31 marzo 2024, momento in cui la versione 3.2.1 è stata ritirata e le organizzazioni che cercano la certificazione PCI DSS dovranno attenersi ai nuovi requisiti e alle migliori pratiche. È importante notare che alcuni requisiti sono stati “datati per il futuro”. Per tali requisiti, alle organizzazioni è stato concesso un altro anno completo, con gli aggiornamenti che devono essere implementati entro il 31 marzo 2025.

Le modifiche sono state guidate dai feedback diretti delle organizzazioni di tutto il settore globale dei pagamenti. Secondo il PCI, più di 200 organizzazioni hanno fornito feedback per garantire che lo standard continui a rispondere al complesso e in continua evoluzione panorama della sicurezza dei pagamenti.

Le principali modifiche per questa versione includono:

Flessibilità nel raggiungere la conformità / Approccio personalizzato

Uno degli obiettivi principali della PCI DSS v4.0 era quello di fornire maggiore flessibilità alle organizzazioni nel raggiungere i propri obiettivi di sicurezza. La PCI DSS v4.0 introduce un nuovo metodo – noto come Approccio Personalizzato – mediante il quale le organizzazioni possono implementare e validare i controlli PCI DSS. In precedenza, le organizzazioni avevano l’opzione di implementare controlli compensativi, tuttavia questi sono applicabili solo quando si verifica una situazione in cui vi è un vincolo – come sistemi o processi legacy – che impedisce di soddisfare un requisito.

La PCI DSS v4.0 fornisce ora alle organizzazioni i mezzi per scegliere di soddisfare un requisito utilizzando altri mezzi rispetto a quelli indicati dal requisito stesso. Il Requisito 12.3.2 e gli Allegati D ed E delineano l’approccio personalizzato e come applicarlo. Per supportare i clienti, il nuovo pacchetto di conformità PCI DSS v4.0 di Rapid7 fornisce un numero maggiore di informazioni rispetto alle versioni precedenti. Ciò dovrebbe portare a una maggiore visibilità e precisione nel processo di scelta di mitigare e gestire i requisiti.

Un approccio mirato alla gestione del rischio

Oltre al concetto di approccio personalizzato, uno degli aggiornamenti più significativi è l’introduzione dell’analisi mirata del rischio (TRA). La TRA consente alle organizzazioni di valutare e rispondere ai rischi nel contesto dell’ambiente operativo specifico di un’organizzazione. Il consiglio PCI ha pubblicato il documento “PCI DSS v4 x: Targeted Risk Analysis Guidance“, che descrive i due tipi di TRA che un’entità può utilizzare per la frequenza di esecuzione di un determinato controllo e il secondo affronta qualsiasi requisito PCI DSS quando un’entità utilizza un approccio personalizzato.

Per assistere nell’interpretazione e nell’ottenimento di una visione consolidata dei rischi per la sicurezza nei loro ambienti cloud, i clienti di Rapid7 possono sfruttare il  Layered Context di InsightCloudSec e la funzione di Risk Score recentemente introdotta. Questa funzione combina una varietà di segnali di rischio, assegnando un punteggio di rischio più alto alle risorse che soffrono di combinazioni tossiche o di più vettori di rischio. Il Risk Score analizza in modo olistico i rischi che si accumulano e aumentano la probabilità o l’impatto di compromissione.

Metodi e procedure di validazione potenziati

La PCI DSS v4.0 ha apportato miglioramenti al documento di autovalutazione (SAQ) e al modello di Report on Compliance (RoC), aumentando l’allineamento tra di essi e le informazioni riassunte in un Attestato di Conformità per supportare le organizzazioni nei loro sforzi di auto-attestazione o di lavoro con valutatori al fine di aumentare trasparenza e dettaglio.

Nuovi Requisiti

La PCI DSS v4.0 ha introdotto una serie di nuovi requisiti per affrontare le minacce emergenti. Con la modernizzazione dei controlli di sicurezza della rete, orientamenti espliciti sulla protezione dei dati del titolare della carta e sulla maturità dei processi, lo standard si concentra sull’istituzione di controlli e governance sostenibili. Anche se ci sono diverse novità – che puoi trovare dettagliate qui nel riassunto delle modifiche – vogliamo evidenziare alcune di particolare importanza:

1. L’autenticazione multifattore è ora richiesta per tutti gli accessi al Cardholder Data Environment (CDE) – req. 8.5.1
2. Crittografia dei dati di autenticazione sensibili (SAD) – req. 3.3.3
3. Nuovi requisiti per le password e aggiornamento dei requisiti specifici per la sicurezza delle password: le password devono ora essere composte da 12 caratteri con caratteri speciali, maiuscole e minuscole – reqs. 8.3.6 e 8.6.3
4. I ruoli e i privilegi di accesso si basano sull’accesso con privilegi minimi (LPA), e i componenti di sistema operano utilizzando il rifiuto per impostazione predefinita – req. 7.2.5
5. Le revisioni dei log degli audit vengono effettuate utilizzando meccanismi automatizzati – req. 10.4.1.1

Questi controlli pongono il controllo degli accessi basato sui ruoli, la gestione delle configurazioni, l’analisi del rischio e il monitoraggio continuo come fondamenti, aiutando le organizzazioni a maturare e a raggiungere i loro obiettivi di sicurezza. Rapid7 può aiutare nell’implementazione e nell’applicazione di questi nuovi controlli, con una serie di soluzioni che offrono supporto correlato alla PCI, tutte aggiornate per allinearsi a questi nuovi requisiti.

Come Rapid7 supporta i clienti nel raggiungere la conformità PCI DSS v4.0

InsightCloudSec consente ai team di sicurezza di stabilire, misurare continuamente e illustrare la conformità rispetto alle politiche organizzative. Questo viene realizzato tramite pacchetti di conformità, che sono insiemi di controlli che possono essere utilizzati per valutare continuamente l’intero ambiente cloud, sia che si tratti di un ambiente cloud singolo o multi-cloud. La piattaforma offre di serie dozzine di pacchetti di conformità, tra cui un pacchetto dedicato per la PCI DSS v4.0.

InsightCloudSec valuta in tempo reale i tuoi ambienti cloud per garantire la conformità ai requisiti e alle migliori pratiche indicate dalla PCI. Consente inoltre ai team di individuare, valutare e agire sulle risorse non conformi quando vengono rilevate configurazioni errate. Se lo desideri, puoi utilizzare l’automazione nativa della piattaforma, senza codice, per risolvere immediatamente il problema non appena viene rilevato, che si tratti di avvisare i proprietari delle risorse interessate, aggiustare direttamente la configurazione o le autorizzazioni, o addirittura eliminare completamente la risorsa non conforme senza alcun intervento umano. Dai un’occhiata alla demo per saperne di più su come InsightCloudSec aiuta a far rispettare in modo continuo e automatico gli standard di sicurezza cloud.

Anche InsightAppSec consente di misurare la conformità ai requisiti della PCI v4.0 per aiutarti a ottenere la conformità PCI. Consente agli utenti di creare un rapporto PCI v4.0 per prepararsi a un audit, una valutazione o un questionario sulla conformità PCI. Il rapporto PCI ti dà la possibilità di individuare potenziali problemi che influenzeranno l’esito di queste attività. In modo cruciale, il rapporto ti consente di agire e risolvere le vulnerabilità critiche su qualsiasi asset che gestisce dati delle carte di pagamento. L’audit di conformità PCI è già pronto e semplice da generare una volta completata una scansione su cui eseguire il rapporto.

InsightAppSec raggiunge questa copertura incrociando e quindi mappando la nostra suite di oltre 100 moduli di attacco ai requisiti della PCI, identificando quali attacchi sono rilevanti per particolari requisiti e quindi tentando di sfruttare la tua applicazione per individuare aree in cui potrebbe essere vulnerabile. Queste vulnerabilità vengono quindi raggruppate nel rapporto PCI 4.0. Questo ti fornisce importanti informazioni sulle vulnerabilità che potresti avere, oltre a consentire la gestione di tali vulnerabilità in un formato semplice.

Per i clienti di InsightVM, un cambiamento importante nella revisione è la necessità di eseguire scansioni interne autenticate per le vulnerabilità per il requisito 11.3.1.2. Le versioni precedenti dello standard consentivano scansioni interne senza l’uso di credenziali, il che non è più sufficiente.

Scopri la pagina del vendor sul nostro sito

Articolo originale

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI