Cos'è la conformità agli standard PCI DSS? 12 requisiti

Dal 2005, più di 10 miliardi di documenti dei consumatori sono stati compromessi a causa di oltre 9.000 violazioni di dati negli Stati Uniti. Questi sono gli ultimi numeri della Privacy Rights Clearinghouse, che fornisce report sulle violazioni dei dati e della sicurezza che riguardano i consumatori dal 2005. Per migliorare la sicurezza dei dati dei consumatori e la fiducia nell'ecosistema dei pagamenti, è stato creato uno standard minimo per la sicurezza dei dati. Visa, Mastercard, American Express, Discover e JCB hanno costituito il Payment Card Industry Security Standards Council (PCI SSC) nel 2006 per amministrare e gestire gli standard di sicurezza per le aziende che gestiscono i dati delle carte di credito.

Lo standard di sicurezza dei dati dell'industria delle carte di pagamento (PCI DSS) è lo standard di sicurezza globale per tutte le entità che memorizzano, elaborano o trasmettono dati dei titolari della carta e/o dati di autenticazione sensibili. Lo standard PCI DSS definisce un livello di protezione di base per i consumatori e aiuta a ridurre le frodi e le violazioni dei dati nell'intero ecosistema di pagamento. È applicabile a tutte le organizzazioni che accettano o elaborano carte di pagamento e sono previste sanzioni, multe e costi significativi per le organizzazioni che non soddisfano questi standard.

La conformità allo standard PCI DSS prevede tre componenti principali:

Gestione dell'inserimento dei dati della carta di credito da parte dei clienti; vale a dire, che i dati sensibili della carta devono essere raccolti e trasmessi in modo sicuro
Archiviazione sicura dei dati, come descritto nei 12 domini di sicurezza dello standard PCI, come crittografia, monitoraggio continuo e test di sicurezza dell'accesso ai dati delle carte
Convalida annuale che i controlli di sicurezza richiesti siano in atto, il che può includere moduli, questionari, servizi di scansione delle vulnerabilità esterne e audit di terze parti (vedere la guida dettagliata di seguito per una tabella con i quattro livelli di requisiti)

Tutte le attività che accettano pagamenti con carta di credito devono essere conformi allo standard PCI DSS, indipendentemente dal volume, dall'area geografica o dal metodo di integrazione. Conformemente a questo quadro, le attività possono:

fidelizzare i clienti garantendo la sicurezza dei dati delle loro carte;
proteggersi da frodi e violazioni dei dati;
evitare multe per violazioni della conformità alle norme PCI.

Declinazione di responsabilità: Questo articolo deve essere utilizzato solo a scopo indicativo e non deve essere considerato come un consiglio definitivo. Per chiarimenti, consigliamo di rivolgerti a un Qualified Security Assessor (QSA) per lo standard di sicurezza dei dati dell'industria delle carte di pagamento (PCI DSS).

Come Stripe aiuta le organizzazioni a raggiungere e mantenere la conformità alle norme PCI

Se per il tuo modello di business devi gestire i dati delle carte, potrebbe esserti richiesto di soddisfare ciascuno degli oltre 300 controlli di sicurezza ai sensi di PCI DSS. Sono disponibili oltre 1.800 pagine di documentazione ufficiale pubblicata dal PCI Security Standards Council sugli standard di sicurezza PCI e più di 300 pagine solo per capire quali moduli utilizzare per la convalida della conformità.

Stripe può contribuire a ridurre in modo significativo l'onere della conformità PCI per le aziende offrendo loro una serie di metodi di integrazione tokenizzati (ad esempio Checkout, Elements, SDK per dispositivi mobili, SDK per Terminal), evitando la necessità di gestire direttamente i dati sensibili delle carte di credito.

Stripe Checkout e Stripe Elements usano un campo di pagamento in hosting per gestire tutti i dati della carta di pagamento, in modo che il titolare della carta inserisca tutte le informazioni di pagamento sensibili in un campo di pagamento generato direttamente dai nostri server convalidati PCI DSS.
Gli SDK di Stripe per dispositivi mobili e Terminal consentono inoltre al titolare della carta di inviare le informazioni di pagamento sensibili direttamente ai nostri server convalidati PCI DSS.

Per tutti gli utenti, indipendentemente dal tipo di integrazione, Stripe sostiene la conformità PCI e può aiutare in vari modi.

La nostra procedura guidata PCI di Stripe analizza il tuo metodo di integrazione e fornisce suggerimenti per ridurre l'onere della conformità.
Ti avviseremo in anticipo se un volume crescente di transazioni richiederà un cambiamento nel modo in cui convalidi la conformità.
Per le attività enterprise o di grandi dimensioni che hanno la necessità di lavorare con un QSA PCI perché memorizzano i dati delle carte di credito o hanno un flusso di pagamento più complesso, ci sono più di 400 di queste aziende QSA in tutto il mondo. Possiamo metterti in contatto con diversi auditor che conoscono a fondo i diversi metodi di integrazione di Stripe.

Guida dettagliata alla conformità alle norme PCI DSS

1. Scopri il tuo livello PCI

Il primo passo per ottenere la conformità alle norme PCI è sapere quali requisiti si applicano alla tua organizzazione. Esistono quattro diversi livelli di conformità alle norme PCI, che si basano generalmente sul volume di transazioni con carta di credito elaborate nell'arco di 12 mesi.

A seconda del tuo livello, dovrai soddisfare requisiti diversi, tra cui scansioni regolari di vulnerabilità da parte di un Approved Scanning Vendor (ASV). Sono previsti anche requisiti aggiuntivi per i fornitori di servizi, che sono entità commerciali direttamente coinvolte nell'elaborazione, archiviazione o trasmissione dei dati dei titolari della carta (CHD) e/o dei dati di autenticazione sensibili (SAD) per conto di un'altra entità (ad esempio gateway di pagamento, fornitori di servizi di pagamento e organizzazioni di vendita indipendenti).

Livello di conformità	Applicabile a	Requisiti
Livello 1	Aziende che elaborano oltre 6 milioni di transazioni online con carte Visa o Mastercard oppure oltre 2,5 milioni con carte American Express oppure Hanno subito una violazione dati oppure Sono considerati appartenenti al Livello 1 da qualsiasi circuito di carte di credito (Visa, Mastercarcard, ecc.)	Attestato di conformità (AOC) o report annuale sulla conformità (ROC) forniti da un Qualified Security Assessor (QSA) Scansione di rete trimestrale svolta da un fornitore di scansioni approvato (ASV)
Livello 2	Aziende che elaborano da 1 a 6 milioni di transazioni online all'anno	Questionario di autovalutazione (SAQ) o attestato di conformità (AOC) o report sulla conformità (ROC) La documentazione SAQ A, SAQ A-EP e SAQ D deve essere sottoscritta da un Qualified Security Assessor (QSA) PCI o da un Internal Security Assessor (ISA) certificato PCI.¹ Scansione di rete trimestrale svolta da un fornitore di scansioni approvato (ASV)
Livello 3	Aziende che elaborano da 20.000 a 1 milione di transazioni online all'anno Aziende che elaborano meno di 1 milione di transazioni totali all'anno	Gli utenti di livello 3 e 4 vengono automaticamente iscritti al nostro programma di gestione dei rischi, che offre un'esperienza personalizzata e semplificata in base a vari fattori, come il tipo di integrazione. Questo potrebbe comportare il completamento di uno o più SAQ (Self-Assessment Questionnaire) PCI DSS. Gli utenti di livello 3 devono completare anche scansioni trimestrali delle reti eseguite da fornitori di scansioni approvati (ASV).
Livello 4	Aziende che elaborano meno di 20.000 transazioni online all'anno oppure Aziende che elaborano fino a 1 milione di transazioni totali all'anno	Gli utenti di livello 4 devono completare anche scansioni trimestrali delle reti eseguite da fornitori di scansioni approvati (ASV).

¹ Gli esercenti di livello 2 che completano SAQ A, SAQ A-EP o SAQ D devono rivolgersi a un Qualified Security Assessor (QSA) per la convalida della conformità

2. Scopri il tuo tipo di integrazione e i requisiti di documentazione

Una volta che conosci il tuo livello PCI, il passo successivo è determinare quali documenti PCI devi compilare per convalidare la tua conformità, in base al tipo di integrazione che usi con Stripe, se sei un fornitore di servizi, ecc.

Utenti di livello 1

Le attività di livello 1 non possono utilizzare un modulo SAQ per dimostrare la conformità alle norme PCI. Devono completare annualmente un ROC firmato da un QSA per convalidare la loro conformità alle norme PCI.

Utenti di livello 2-4

Per gli utenti di livello 2-4, esistono diversi tipi di moduli SAQ in base al metodo di pagamento integrato. Se non sai qual è il tipo di modulo SAQ più adatto a te, la procedura guidata PCI di Stripe determinerà automaticamente il tipo di documentazione adatto alla tua attività.

Integrazione	Requisito	Suggerimento
Checkout o Elements	SAQ A	Checkout e Stripe.js ed Elements ospitano tutti gli input di raccolta dei dati delle carte all'interno di un iframe gestito dal dominio di Stripe e non dal tuo: le informazioni delle carte dei clienti, quindi, non arrivano mai ai tuoi server.
Connect	SAQ A	Se usi soltanto una piattaforma Connect (ad esempio, Squarespace) per acquisire i dati delle carte, possiamo accertare se la piattaforma fornisce la necessaria documentazione PCI.
SDK mobile	SAQ A	Lo sviluppo e il controllo delle modifiche degli SDK per dispositivi mobili di Stripe sono conformi agli standard PCI DSS (requisiti 6.3-6.5) e vengono implementati attraverso i nostri sistemi con convalida PCI. Quando utilizzi solo i componenti di interfaccia dei nostri SDK ufficiali per iOS o Android o crei un modulo di pagamento con Elements in una WebView, i numeri delle carte passano direttamente dai tuoi clienti a Stripe. In questo modo, gli adempimenti in termini di conformità PCI sono semplificati. Se procedi diversamente, ad esempio scrivendo codice proprietario per gestire i dati delle carte, è possibile che tu debba soddisfare altri requisiti PCI DSS (6.3 - 6.5) e che tu non possa usare un SAQ A. In questo caso, ti consigliamo di rivolgerti a un Qualified Security Assessor PCI per determinare il modo migliore per convalidare la tua conformità secondo le linee guida attualmente vigenti del PCI Security Standards Council. Se la tua applicazione impone ai tuoi clienti di inserire le informazioni sui propri dispositivi, allora hai l'idoneità per il SAQ A. Se l'applicazione accetta i dati delle carte di più clienti sul tuo dispositivo (ad esempio, un'app POS), rivolgiti a un Qualified Security Assessor PCI per scoprire il modo migliore per convalidare la conformità alle norme PCI.
Stripe.js v2	SAQ A-EP	Se utilizzi Stripe.js v2 per inviare i dati delle carte inseriti in un modulo ospitato sul tuo sito, devi completare il SAQ A-EP ogni anno per dimostrare la conformità PCI della tua attività. In alternativa, sia Checkout sia Elements ti consentono la flessibilità e la personalizzazione di un modulo in self-hosting, soddisfacendo allo stesso tempo l'idoneità PCI per il SAQ A.
Terminal	SAQ C	Se raccogli dati delle carte esclusivamente tramite Stripe Terminal, puoi eseguire la convalida con SAQ C. Se usi altre integrazioni con Stripe utilizzando altri metodi inclusi in questa tabella, devi provare la loro conformità separatamente, secondo quanto descritto.
Dashboard	SAQ C-VT	I pagamenti manuali con carta tramite la Dashboard sono possibili solo per circostanze eccezionali, non per l'elaborazione standard dei pagamenti. Fornisci un modulo di pagamento adeguato o un'applicazione per dispositivi mobili così che i clienti possano inserire i dati della propria carta. Non possiamo verificare che i dati delle carte inseriti manualmente siano al sicuro all'esterno della rete Stripe, pertanto devi proteggere i dati delle carte ai sensi dei requisiti di conformità PCI e completare il SAQ C-VT ogni anno per dimostrare che la tua attività dispone della conformità PCI.
API diretta	SAQ D	Quando invii i dati delle carte direttamente all'API di Stripe, l'integrazione gestisce direttamente quei dati ed è necessario che dimostri ogni anno la tua conformità PCI utilizzando SAQ D il più impegnativo dei SAQ. Per ridurre il carico: Integra Checkout, Elements o i nostri SDK per dispositivi mobili. Esegui la migrazione alla tokenizzazione lato client dei dati della carta. Inoltre, Radar, il nostro strumento di prevenzione delle frodi che include la valutazione dei rischi e le regole, è disponibile solo quando si utilizza uno dei nostri metodi di tokenizzazione lato client.

Fornitori di servizi

Se sei direttamente coinvolto nell'elaborazione, nell'archiviazione o nella trasmissione dei dati dei titolari della carta (CHD) e/o dei dati di autenticazione sensibili (SAD) per conto di un'altra entità (ad esempio, gateway di pagamento, fornitori di servizi di pagamento e organizzazioni di vendita indipendenti), potresti essere classificato come fornitore di servizi. Ciò significa che dovrai soddisfare ulteriori requisiti.

3. Completa la valutazione e invia la documentazione SAQ

Una volta individuata la valutazione da completare, il passaggio successivo consiste nell'eseguire la valutazione, compilare la documentazione pertinente per il SAQ o il ROC e inviarla a Stripe per la revisione.

Gli utenti con un elevato numero di utenti vorranno assicurarsi i servizi di un QSA registrato per operare nelle aree geografiche in cui operi. Il QSA ti aiuterà a rivedere i tuoi sistemi rispetto ai requisiti PCI e ti fornirà suggerimenti per correggere eventuali carenze. Inoltre, produrrà e firmerà la documentazione appropriata che potrai condividere con Stripe ogni anno.

Gli utenti di livello 3 e 4 dovranno probabilmente completare il questionario di autovalutazione PCI DSS appropriato per la loro linea di business. Altre risorse per esercenti sono disponibili tramite il PCI Security Standards Council. Anche Stripe è qui per aiutarti: la nostra procedura guidata personalizzata sulla tua Dashboard PCI ti porrà una serie di domande e genererà la documentazione necessaria. Puoi utilizzare la Dashboard PCI di Stripe per caricare qualsiasi documentazione SAQ o ROC autocompilata.

4. Effettua monitoraggio e manutenzione

È importante sottolineare che la conformità alle norme PCI non è un evento una tantum. Si tratta di un processo annuale per garantire che la tua attività continui a essere conforme anche se i flussi di dati e i punti di contatto con i clienti si evolvono.

Lo standard PCI DSS stabilisce standard importanti per la gestione e l'archiviazione dei dati dei titolari della carta, ma non fornisce da solo una protezione sufficiente per ogni ambiente di pagamento. Invece, passare a un metodo di accettazione delle carte più sicuro che utilizza dati tokenizzati (come Stripe Checkout, Elements e SDK per dispositivi mobili) è molto più efficace per proteggere la tua organizzazione. Questo approccio offre alle attività agili un modo per mitigare una potenziale violazione dei dati ed evitare l'approccio storico alla convalida PCI, dispendioso in termini di tempo e denaro.

Man mano che un'azienda cresce, cresceranno anche la logica e i processi di core business, il che significa che anche i requisiti di conformità si evolveranno. Un'attività online, ad esempio, potrebbe decidere di aprire negozi fisici, entrare in nuovi mercati o lanciare un centro di assistenza clienti. Se una novità riguarda i dati delle carte di pagamento, è buona norma verificare in modo proattivo se ciò influisce sul metodo di convalida PCI scelto e, se necessario, convalidare nuovamente la conformità alle norme PCI.

Per ulteriori informazioni sul complesso mondo della conformità alle norme PCI, visita il sito web del PCI Security Standards Council. Se hai letto solo questa guida e alcuni altri documenti PCI, ti consigliamo di iniziare con questi:

Approccio prioritario per PCI DSS
Istruzioni e linee guida SAQ
Domande frequenti sull'utilizzo dei criteri di ammissibilità SAQ per determinare i requisiti di valutazione in loco
Domande frequenti sugli obblighi per le attività che sviluppano app per i dispositivi consumer che accettano i dati delle carte di pagamento

Come Stripe aiuta le organizzazioni a mantenere la conformità alle norme PCI

Stripe, un fornitore di servizi PCI di livello 1, riceve annualmente la certificazione da un ente indipendente PCI Qualified Security Assessor per garantire il rispetto di tutti i requisiti PCI DSS. Ciò significa che tutti i nostri prodotti sono sicuri per impostazione predefinita, il che riduce i requisiti di conformità.

Per tutti gli utenti, indipendentemente dal tipo di integrazione, Stripe sostiene la conformità PCI e può aiutare in vari modi.

Supporto per le piccole imprese

Stripe semplifica notevolmente le procedure PCI per gli utenti di piccole dimensioni, offrendo un percorso di conformità personalizzato, con questionari SAQ precompilati e flussi guidati per alcuni utenti che sfruttano metodi di integrazione più sicuri come Checkout, Elements, SDK per dispositivi mobili e SDK Terminal.

Esperienza personalizzata con la Dashboard

Dopo essere diventato cliente Stripe, analizzeremo la cronologia delle tue transazioni e ti forniremo suggerimenti per ridurre gli oneri legati alla conformità attraverso un'esperienza personalizzata con la Dashboard.

Assistenza di pari passo con la crescita dell'attività

Con l'aumentare del volume annuale delle transazioni, potresti riscontrare una variazione dei livelli PCI entro un anno. Stripe ti supporta in queste transizioni avvisandoti dei nuovi requisiti man mano che ti avvicini alla data di rinnovo PCI.

Più di un fornitore di servizi

Se la tua attività utilizza più di un elaboratore, la procedura di conformità alle norme PCI può diventare complicata. Stripe semplifica tutto supportando la presentazione di AOC da parte dei tuoi fornitori per semplificare il tuo percorso verso la conformità.

Pagamenti globali

Pagamenti e finanza integrati

Automazione per ricavi e finanza

Altro

Per fase

Per modello di business

Per casistica

Ecosistema

Inizia

Guide