Cos'è PCI-DSS?
PCI-DSS (Payment Card Industry Data Security Standard) è un insieme di requisiti di sicurezza stabiliti dal PCI Security Standards Council per proteggere i dati dei titolari di carta e garantire che tutte le organizzazioni che trattano, archiviano o trasmettono informazioni di carte di credito mantengano un ambiente sicuro.
Noto anche come: PCI DSS, Payment Card Industry Data Security Standard, PCI compliance
PCI-DSS definisce 12 requisiti fondamentali organizzati in sei categorie: costruire e mantenere una rete sicura, proteggere i dati dei titolari di carta, mantenere un programma di gestione delle vulnerabilità, implementare forti misure di controllo degli accessi, monitorare e testare regolarmente le reti e mantenere una policy di sicurezza delle informazioni. Lo standard si applica a ogni entità coinvolta nel trattamento delle carte di pagamento — merchant, processor, acquirer, issuer e service provider.
I requisiti 3 e 4 sono particolarmente rilevanti per la cifratura: il requisito 3 impone la protezione dei dati dei titolari di carta archiviati (con specifici metodi di cifratura, hashing e troncatura), mentre il requisito 4 richiede la cifratura dei dati dei titolari di carta durante la trasmissione su reti aperte e pubbliche. Il requisito 7 applica l'accesso in base alla necessità di conoscere, e il requisito 8 impone un'identificazione univoca e un'autenticazione forte per tutti gli accessi ai componenti del sistema. La conformità viene validata tramite questionari di autovalutazione o audit in loco in base al volume delle transazioni.
La conformità PCI-DSS si estende oltre il cardholder data environment (CDE) stesso a qualsiasi sistema che possa influenzare la sicurezza del CDE. Questo include come vengono gestite e condivise le credenziali per i sistemi di pagamento. Condividere password di database o API key per sistemi di elaborazione dei pagamenti via email o canali non cifrati viola lo spirito — e spesso la lettera — dei requisiti PCI-DSS per forti controlli degli accessi e cifratura.
Come Vaulted usa PCI-DSS
Vaulted supporta la conformità PCI-DSS fornendo un canale cifrato ed effimero per condividere credenziali relative ai sistemi di pagamento e agli ambienti dati dei titolari di carta. Quando i team devono condividere credenziali database, API key di gateway di pagamento o token di accesso per sistemi in scope PCI, Vaulted assicura che i dati vengano cifrati lato client con AES-256-GCM prima della trasmissione e vengano eliminati automaticamente dopo l'uso. Questo si allinea al requisito PCI-DSS 4 (cifrare i dati in transito) e al requisito 7 (limitare l'accesso in base alla necessità di conoscere), sostituendo i segreti in chiaro persistenti nelle email con link zero-knowledge autodistruttivi.