Quali sono le modifiche principali nei documenti di convalida PCI DSS v4.0?

Modifiche dei documenti di convalida PCI DSS v4.0

Se utilizzi la soluzione criptata di Adyen, come l'integrazione per i pagamenti online o l'integrazione per i pagamenti di persona, di seguito sono riportate le principali modifiche apportate nella nuova versione degli standard PCI DSS. Questi requisiti riguardano i commercianti che accettano pagamenti con carta di credito e valutano con PCI DSS versione 4.0.

SAQ A

• Nuova password e requisiti di autenticazione a più fattori (MFA) estesi (Requisito 8): l'autenticazione a più fattori è fortemente consigliata per tutti i componenti del sistema per fornire un ulteriore livello di sicurezza al fine di impedire la compromissione dei dati del conto. Tuttavia, se l'autenticazione a più fattori non viene implementata e la password/passphrase viene utilizzata come unico metodo di accesso, la passphrase/passphrase viene modificata almeno ogni 90 giorni. In alternativa, i commercianti possono implementare un approccio personalizzato per consentire l'accesso ai componenti del sistema caso per caso, in base all'impostazione di sicurezza di questi conti.
• Consapevolezza della sicurezza (Requisito 6): i commercianti sono tenuti a rimanere aggiornati con avvisi o informazioni sulle nuove vulnerabilità della sicurezza provenienti dai team di risposta alle emergenze informatiche (CERT) internazionali e locali. 
• Scansioni trimestrali delle vulnerabilità esterne (Requisito 11): i commercianti che accettano pagamenti e-commerce sono tenuti a eseguire o disporre di politiche e procedure documentali che richiedono scansioni di vulnerabilità esterne da parte di fornitori di scansione approvati PCI SSC almeno una volta ogni tre mesi e dopo una modifica significativa dell'ambiente di pagamento. Sebbene inizialmente non siano richieste quattro scansioni superate entro 12 mesi, gli anni successivi impongono il superamento delle scansioni almeno ogni tre mesi. Questo requisito ha effetto immediato.

SAQ BIP per pagamento di persona (IPP)

• Aggiornamento di sicurezza per i dispositivi IPP (Requisito 6): se il commerciante controlla l'aggiornamento del dispositivo installato, le patch di sicurezza devono essere gestite e installate sul terminale di pagamento in base alla gravità e all'impatto della vulnerabilità identificata.

SAQ B-IP per MOTO su dispositivo IPP

• Aggiornamento di sicurezza per i dispositivi IPP (Requisito 6): se il commerciante controlla l'aggiornamento del dispositivo installato, le patch di sicurezza devono essere gestite e installate sul terminale di pagamento in base alla gravità e all'impatto della vulnerabilità identificata.
• Controllo dell'accesso (Requisito 7): questo requisito limita l'accesso temporaneo ai dati del titolare della carta nel flusso di pagamento MOTO in base alla classificazione e alle funzioni del lavoro dei dipendenti. È importante che ai singoli utenti vengano assegnati i diritti utente solo quando sono necessari per svolgere il proprio lavoro.

SAQ C-VT per MOTO su dispositivo IPP

• Controllo degli accessi (Requisito 7): proprio come MOTO sui dispositivi IPP, questo requisito per MOTO completato tramite terminali virtuali limita l'accesso temporaneo ai dati dei titolari di carta nel flusso di pagamento MOTO in base alla classificazione e alla funzione lavorativa dei dipendenti. È importante che ai singoli utenti vengano assegnati i diritti utente solo quando sono necessari per svolgere il proprio lavoro.

Modifiche con data futura

I seguenti requisiti sono best practice fino al 31 marzo 2025 e potrebbero essere "Non applicabile" nella valutazione del commerciante. Rientrano pienamente nell'ambito di applicazione solo con le valutazioni eseguite dopo questa data. 

SAQ A

• Nuovo requisito per la password: a differenza del requisito minimo di 7 caratteri nella versione 3.2.1, sarebbe richiesta la lunghezza minima di 12 caratteri (o SE il sistema non supporta 12 caratteri, una lunghezza minima di otto caratteri) contenente sia caratteri numerici che alfabetici per i componenti del sistema.
• Monitorare l'integrità del contenuto della pagina di pagamento (Requisiti 6 e 11): per ridurre il rischio di attacchi man-in-the-middle, i commercianti sono tenuti a disporre di una procedura (ad esempio un meccanismo/tecnologia di rilevamento di modifiche/manomissioni) per monitorare/confermare l'integrità dell'intestazione HTTP e degli script della pagina di pagamento, incluso il web contenente il frame/iFrame in linea di TPSP, eseguito nel sito web/nell'applicazione web del commerciante. 

Per ulteriori informazioni sulla transizione a PCI DSS v4.0, visita la guida alla conformità PCI DSS di Adyen e il nostro post sul blog sulla conformità PCI DSS v4.0.