lo strumento per la COMPLIANCE:
•easy•integrabile
•sempre aggiornato
•flessibile

 

Quattro anni di PCI-DSS in Italia Stampa E-mail
Scritto da Nicola De Bello   
Mercoledì 13 Gennaio 2010 12:07

La storia

Kima ha iniziato ad investire in PCI-DSS nel 2005, su segnalazione del mercato (Service Provider).
Il rapporto era direttamente con VISA, il PCI Council doveva ancora nascere.
Prima entità in Italia certificata PCI-DSS: Consorzio Triveneto (committed nel 2006, certificazione a inizio 2007).

La “Catena della Responsabilità” (Liability) vede le Banche Acquirer come il principale motore del processo di implementazione dello Standard.

Le Banche Acquirer sono responsabili dei propri Merchant (e dei propri Service Provider) verso i Card Brand (reportistica periodica).

Negli ultimi due anni lo stato di awareness e le entità coinvolte sono significamente aumentati. Kima, ad esempio, con riferimento alle categorie a cui si applicano gli Standard, è impegnata con:

PCI-DSS
Banche Acquirer / Issuer: Gap Analysis per le maggiori Banche Acquirer, gestione dei Merchant per una Banca Acquirer
Service Provider: non solo i maggiori Processor, ma anche altre categorie, quale ad esempio i Costruttori di Carte
Merchant (Esercenti): Servizi, Grande Distribuzione, Linee Aeree e Navali, E-Commerce puro, ecc.

PA-DSS
Sviluppatori di Applicazioni di Pagamento: un caso in corso di completamento, altri casi in fasi iniziali.

PCI-PIN
Gap Analysis e supporto all’Audit VISA per tutte le maggiori entita’ coinvolte.

Il riscontro dopo 4 anni

Dopo 4 anni si hanno i seguenti riscontri (positivi?):

  • A differenza di altre Certificazioni (del presente e del passato), PCI-DSS è recepito, applicato, controllato e… forzato
  • PCI-DSS traina le altre problematiche di Monetica
  • Ne viene percepito il valore aggiunto, e non solo l’obbligo
  • La percezione del ROI è molto più immediata rispetto alle consuete problematiche di Sicurezza ICT
  • PCI-DSS spinge a utili azioni di segmentazione e segregazione
  • Il focus sulla protezione dei dati collima con quanto accade nel mercato e nella Sicurezza ICT
  • PCI-DSS e i suoi Controlli sono formalmente molto ben definiti, e quindi si prestano bene a:
    • definizione e utilizzo di metriche
    • link formale tra i propri Controlli e gli Statement di Sec. Policy
    • gestione check-list, implementazioni SW e post-elaborazioni
  • PCI-DSS è uno Standard “misto” (tecnologico e di processo), e si presta bene ad essere una Linea Guida anche in altri ambiti
  • Il miglioramento del SAQ nella Versione 1.2 e’ stato ben accolto dai Merchant

Dopo 4 anni, rimangono alcuni punti non completamente compresi o di difficile implementazione:

  • Obbligo di Compliance, ma non di Validation per le Banche
  • Differenza tra PCI-DSS e PA-DSS, implicazioni di PA-DSS in una Certificazione PCI-DSS
  • Differenza tra PCI-DSS e PCI-PIN
  • Correlazione con i Programmi AIS (VISA) e SDP (MasterCard)
  • Correlazione con le Specifiche ABI-CoGeBan (SPE-DEF*)
  • Differenza tra Scan PCI-DSS (esterni) e Scan interni
  • Definizione dello Scope in presenza di entità (non chiaramente) esterne (OutSourcer, Fornitori, Centri Servizi, Carrier, ecc.)
  • Implicazioni verso la Contrattualistica (diversità del sistema giuridico anglosassone)
  • Varietà degli interlocutori interni – Mappatura vero i processi interni
  • Link con ISO17799/27001
  • Spesso il Glossario di base è poco conosciuto, anche in ambito Banking & Finance (Acquirer, Issuer, ecc.)
 
Copyright © Kima Srl
Designed by XOR Media

kima Srl - C.So stati Uniti, 14/bis 35127 Padova
Tel 049 870 10 10 Fax 049 870 10 14 P.IVA 03948930288