Lo standard PCI DSS, emesso dal PCI Council, prevede che le aziende che processano, trasmettono o archiviano transazioni relative a carte di pagamento debbano sottostare e conformarsi ad un insieme di requisiti specifici di sicurezza. I programmi di sicurezza varati dai circuiti, oltre alla conformità con lo standard PCI, prevedono che le aziende certifichino la propria conformità tramite un Qualified Security Assessor (QSA). Ogni anno, ciascuna di queste aziende deve dichiarare ai circuiti di pagamento internazionali il proprio stato di conformità: se già conformi, devono indicare quale QSA ha rilasciato la certificazione, mentre se non ancora conformi devono dichiarare la data in cui prevedono di raggiungere la piena conformità allo standard.

Questo standard settoriale si sta dimostrando sempre più un buon driver per la sicurezza delle aziende coinvolte nei sistemi di pagamento, grazie anche al progressivo aumento della pressione dei circuiti per la sua adozione e relativa certificazione per i soggetti a cui è richiesta. Ma il PCI DSS, da solo, è sufficiente a garantire alle aziende il conseguimento di un sufficiente livello di sicurezza e, soprattutto, a prevenire efficacemente le violazioni? La risposta, in estrema sintesi, è NO.

Conformità e sicurezza non sono la stessa cosa

Esiste un’enorme differenza fra conformità e sicurezza. Le ottiche sono nettamente differenti, così come l’estensione, e spesso le aziende attribuiscono le rispettive responsabilità a strutture organizzative differenti. In breve, mentre l’ottenimento di un adeguato livello di sicurezza richiede un approccio programmatico a 360 gradi su tutti i processi amministrativi, operativi e tecnici di un’azienda, la conformità è orientata alla puntuale soddisfazione dei soli requisiti previsti dalle norme di legge e da regolamentazioni e standard cui l’azienda è soggetta, niente di più. Le validazioni di conformità e le certificazioni, inoltre, avvengono in un preciso istante della vita aziendale e non tengono conto delle successive evoluzioni e modificazioni dell’azienda.

I limiti dello standard PCI

Va premesso che la sicurezza totale non esiste, neanche nei sogni più spinti dei professionisti della sicurezza. Il sistema sicuro, la rete sicura o l’infrastruttura sicura non esistono e chiunque affermi che la sua azienda è completamente sicura è un folle o uno stolto. Generalmente un’azienda può proteggersi contro vulnerabilità e vettori d’attacco conosciuti, ma le tecnologie e la criminalità sono in costante ed esponenziale evoluzione e nuovi esposizioni di sicurezza potrebbero non essere mitigate dai controlli finora previsti.

Lo standard PCI prevede un insieme ridotto di requisiti di sicurezza rispetto all’intero scibile di sicurezza o ad altri standard di settore più esaustivi, perché è focalizzato sulla protezione dei dati dei possessori di carte di pagamento e su un perimetro specifico identificato da sistemi, reti, applicazioni e database coinvolti nei processi delle carte di pagamento. Non sono pertanto contemplate altre tipologie di processo, sebbene i requisiti previsti dal PCI siano comunque applicabili in generale.

Le aziende sono entità complesse ed in costante cambiamento, pertanto i controlli PCI vanno intesi come adeguati per una media azienda qualunque, ma potrebbero essere insufficienti per le esigenze di sicurezza delle aziende più grosse, complesse, distribuite o maggiormente specializzate in uno specifico settore.

Il falso senso di sicurezza

La certificazione PCI DSS è basata unicamente sull’opinione del QSA, la cui capacità di giudizio dipende molto dalla sua preparazione e dall’esperienza, pertanto certificatori inesperti potrebbero non essere pienamente in grado di condurre un esame esaustivo e pertinente. A ciò si aggiunge il rischio di un condizionamento dovuto alle eventuali pressioni dell’azienda esaminata volte a far accettare soluzioni non idonee o non completamente realizzate. Il risultato è che infrastrutture non sufficientemente sicure possono essere comunque certificate come conformi allo standard.

Anche nei casi ideali in cui la certificazione venga rilasciata a ragion veduta, il pericolo maggiore è il falso senso di sicurezza che l’ottenimento della piena conformità può indurre nel management aziendale e che va a sommarsi all’intrinseca incompletezza dello standard PCI.

Gli assessment sono fotografie della postura di sicurezza dell’azienda in un preciso momento, ma abbiamo già detto che le tecnologie, le minacce e gli attacchi sono in costante evoluzione, perciò bisogna tenere sempre presente che ciò che può essere considerato sufficientemente sicuro oggi, potrebbe non esserlo più domani. Ogni qualvolta una nuova vulnerabilità viene scoperta o un nuovo tipo di attacco viene inaugurato, infatti, cambiano inevitabilmente i termini di riferimento della sicurezza.

In aggiunta, il falso senso di sicurezza può indurre l’azienda ad un certo rilassamento che facilmente può produrre errori nel tempo, creando esposizioni e nuove opportunità per un incidente di sicurezza, intaccando la postura di sicurezza aziendale.

Lo standard PCI deve essere opportunamente integrato

Lo standard PCI, pur essendo un buon driver di sicurezza, in particolare per le aziende più digiune di protezione, non è sufficiente a garantire un sufficiente livello di sicurezza, ma può costituire comunque un’ottima base dalla quale partire. Per rendere esaustive le misure di sicurezza è altamente consigliabile integrare i requisiti PCI con altri standard di sicurezza più comprensivi come la famiglia di standard ISO/IEC 27000, gli standard di sicurezza del NIST e il framework COBIT, ma anche con best practice e standard più specifici come quelli relativi alle misure di sviluppo sicuro delle applicazioni, di hardening dei sistemi o di defense-in-depth giusto per citarne alcuni.

Le aziende sono in forte ritardo

Il Payment Card Industry Compliance Report 2011 di Verizon evidenzia che le aziende stanno ancora sperimentando molte difficoltà nel soddisfare i requisiti di conformità allo standard PCI, nonostante la crescente pressione da parte di circuiti, partner e clientela. Soltanto il 21% delle aziende coinvolte nel settore delle carte di pagamento risulta conforme allo standard PCI, con conseguenti rischi di perdita delle informazioni sensibili dei clienti e di frode, contro il 22% del Report 2010.

La situazione tuttora deludente del settore comporta quindi serie preoccupazioni per i possessori di carte di pagamento, dato che la mancata conformità continua ad essere legata principalmente alla violazione dei dati. Le cause sono da ricercarsi soprattutto nella troppa sicurezza delle aziende riguardo alle proprie infrastrutture tecnologiche, piuttosto che nella compiacenza o nella necessità di focalizzare gli sforzi su altre problematiche prioritarie. I requisiti più ostici da rispettare sono quelli inerenti la protezione dei dati dei titolari di carta, il monitoraggio degli accessi, la verifica periodica dei livelli di sicurezza e le politiche di sicurezza.

Concludo riprendendo uno slogan citato nel report: “compliance doesn’t equal security!”, ovvero non è detto che se un’azienda è pienamente conforme e certificata ai requisiti PCI DSS, sia adeguatamente protetta contro tutte le minacce che incombono su essa giorno dopo giorno.

Ettore Guarnaccia