Che cos’è il PA-DSS (Standard di sicurezza per i dati delle applicazioni di pagamento)?

Lo Standard di sicurezza per i dati delle applicazioni di pagamento (PA-DSS) svolge un ruolo fondamentale nella sicurezza dei pagamenti. Garantendo la sicurezza del trattamento dei dati dei titolari di carta durante le transazioni, il PA-DSS stabilisce gli standard per i fornitori di software e altri soggetti coinvolti nel processo di pagamento. Capire cos’è il PA-DSS e cosa richiede per la conformità è essenziale per la gestione della conformità delle organizzazioni.

Definizione di PA-DSS

Lo Standard di sicurezza per i dati delle applicazioni di pagamento (PA-DSS) è un insieme di standard di sicurezza globali progettati per assistere i fornitori di software nello sviluppo di applicazioni di pagamento sicure. Queste applicazioni non memorizzano dati per i quali esiste un divieto di memorizzazione, come i dati completi della banda magnetica, del CVV2 o del PIN, e garantiscono che il loro software sia conforme agli standard di sicurezza dei dati dell’industria delle carte di pagamento (PCI-DSS).

Che cos’è il PCI-DSS?

Lo Standard di sicurezza per i dati dell’industria delle carte di pagamento (PCI-DSS) è fondamentale in quanto stabilisce i parametri di riferimento per la protezione dei dati dei titolari di carta in tutto il mondo. La conformità PCI aiuta a prevenire le violazioni dei dati e riduce il rischio di frodi, infondendo fiducia nei clienti e proteggendo la reputazione delle aziende.

Qual è la differenza tra PCI-DSS e PA-DSS?

Il PCI-DSS si applica a tutte le aziende che memorizzano, trasmettono ed elaborano i dati dei titolari di carta. Questo standard copre l’intero ecosistema dell’ambiente dei dati dei titolari di carta, e riguarda la sicurezza delle applicazioni di pagamento senza entrare nel dettaglio delle applicazioni stesse.

Invece il PA-DSS si applica solo ai fornitori che sviluppano applicazioni di pagamento per terzi. Il PA-DSS è uno standard gestito dal PCI Security Standards Council (PCI SSC), precedentemente sotto la supervisione di Visa Inc. Lo standard garantisce che queste applicazioni non memorizzino dati per i quali esiste un divieto di memorizzazione, come la banda magnetica completa, il codice o il valore di convalida della carta o il PIN. 

Un’altra differenza fondamentale tra i due framework è che ottenere la certificazione PA-DSS significa aver sviluppato un’applicazione conforme allo standard, ma non significa automaticamente che l’azienda sia al tempo stesso conforme agli standard PCI-DSS.

A chi si applica il PA-DSS?

Sebbene il PA-DSS si applichi prevalentemente ai fornitori di applicazioni di pagamento di terze parti, si estende anche alle aziende che sviluppano applicazioni di pagamento per loro uso privato. Non si applica alle applicazioni di pagamento offerte da chi processa i pagamenti né alle applicazioni che fungono esclusivamente da gateway per chi processa i pagamenti.

Requisiti di conformità PA-DSS:

  • Non conservare i dati completi della banda magnetica, del codice o del valore di convalida della carta o del blocco PIN

Le applicazioni di pagamento devono essere progettate per garantire che i dati sensibili non vengano memorizzati dopo l’autorizzazione.

  • Proteggere i dati memorizzati dei titolari di carta

I dati memorizzati dei titolari di carta devono essere protetti con un’adeguata crittografia o altre metodologie sicure. I dati dei titolari di carta non devono mai essere archiviati su un server collegato a Internet per evitare violazioni dei dati.

  • Fornire funzioni di autenticazione sicura

L’applicazione di pagamento deve prevedere un’autenticazione sicura dell’utente, come password complesse, crittografia o autenticazione a due fattori.

  • Registrare l’attività dell’applicazione di pagamento

Tutte le azioni all’interno dell’applicazione di pagamento devono essere registrate e i registri devono essere accessibili a fini di audit.

  • Sviluppare applicazioni di pagamento sicure

Il processo di sviluppo del software deve seguire pratiche di programmazione sicure e le applicazioni risultanti devono essere sottoposte a test approfonditi e a revisioni del codice.

  • Proteggere le trasmissioni wireless

I dati trasmessi devono essere criptati se l’applicazione di pagamento utilizza la tecnologia wireless.

  • Testare le applicazioni di pagamento per risolvere le vulnerabilità

È necessario condurre test regolari per identificare e risolvere eventuali vulnerabilità di sicurezza nell’applicazione di pagamento.

  • Facilitare l’implementazione di una rete sicura

L’applicazione di pagamento non deve interferire con l’utilizzo di misure di sicurezza della rete, come ad esempio i firewall.

  • Facilitare la sicurezza degli aggiornamenti software da remoto

Se l’applicazione di pagamento consente aggiornamenti remoti, questi devono essere eseguiti in modo sicuro per evitare accessi non autorizzati.

  • Garantire un accesso remoto sicuro all’applicazione di pagamento

Qualsiasi accesso remoto all’applicazione di pagamento deve essere sicuro.

  • Crittografare il traffico sensibile sulle reti pubbliche

I dati sensibili trasmessi su reti pubbliche devono utilizzare crittografia per evitare che vengano intercettati.

  • Crittografare tutti gli accessi amministrativi non-console

L’accesso amministrativo all’applicazione di pagamento deve essere criptato se viene effettuato in rete.

  • Fornire a clienti, rivenditori e a chi integra il software documentazione e programmi di formazione aggiornati

I fornitori di software dovrebbero rendere disponibile una documentazione e una formazione sufficienti a garantire che gli utenti finali possano implementare e gestire in modo sicuro le loro applicazioni di pagamento.

Come ottenere la conformità agli standard PA-DSS

1. Valutare l’applicazione di pagamento

Il primo passo per ottenere la conformità agli standard PA-DSS prevede una valutazione approfondita dell’applicazione di pagamento rispetto ai requisiti PA-DSS.

2. Correggere le vulnerabilità identificate

Tutte le vulnerabilità identificate durante la valutazione devono essere affrontate e risolte.

3. Convalida

Una volta eliminate tutte le vulnerabilità, un PA-QSA (Payment Application Qualified Security Assessor) deve convalidare l’applicazione.

4. Compilazione del rapporto

Il PA-QSA compilerà un rapporto di convalida, che verrà poi inviato al PCI SSC (Payment Card Industry Security Standards Council).

5. Inserimento nell’elenco sul sito web di PCI SSC

Una volta che il PCI SSC accetta il rapporto, l’applicazione di pagamento viene inserita nell’elenco sul suo sito web come conforme agli standard PA-DSS.

PA-DSS per le aziende

La comprensione e l’implementazione dei PA-DSS è essenziale per qualsiasi azienda che sviluppi o utilizzi applicazioni di pagamento. Non solo contribuisce a garantire la gestione sicura dei dati sensibili dei titolari di carta, ma aiuta anche le organizzazioni a dimostrare il loro impegno nei confronti della sicurezza dei clienti. Seguendo i passi indicati, le aziende possono ottenere la conformità agli standard PA-DSS e contribuire a un ambiente di pagamento più sicuro.

Pronti a semplificare le parti più complesse dell'IT
×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.