Guida sicurezza siti Ecommerce

ecommerce guida compliance pci

Guida sicurezza siti Ecommerce

Guida e lista di controllo dei requisiti di conformità PCI DSS

 

Estratto della guida [qui l’originale in inglese] autorizzato da Sucuri che detiene il copyright dei testi e dell’immagine.

Tutti i siti e-commerce devono rispettare i requisiti definiti dagli standard di sicurezza dei dati del settore delle carte di pagamento (PCI-DSS). Questi requisiti sono regolati dalle principali società di carte di credito per garantire la trasmissione, l’archiviazione e la gestione sicure delle informazioni dei titolari di carta.

Questa non è una consulenza legale. Esistono ulteriori leggi, normative e linee guida che potrebbero non essere correlate ai siti e-commerce.

I clienti del tuo negozio online dipendono da te per proteggere i loro dati. Questa guida spiegherà gli obiettivi e i requisiti della conformità PCI, le migliori pratiche per la protezione dei siti e-commerce e le tattiche per combattere le minacce contro i negozi online.

Che cos’è la conformità PCI?

PCI Data Security Standards (PCI DSS) include pratiche generali, come la limitazione delle informazioni sui titolari di carta e la necessità di creare password sicure e non predefinite, nonché pratiche più approfondite come la crittografia e l’uso di un firewall.

Il PCI Security Standards Council è un’organizzazione globale formata dalle principali società di carte di credito, tra cui Visa, Mastercard, Discover e American Express.

Se gestisci un sito di e-commerce, la conformità PCI è obbligatoria. Non è dettato dal volume delle transazioni o limitato esclusivamente allo stoccaggio, alla trasmissione e all’elaborazione; si applica a qualsiasi attività commerciale che consente pagamenti con carta di credito.

Con PCI, tutto riguarda la riduzione della superficie di attacco. Per un sito di e-commerce, ciò comporta in particolare il Card Data Environment (CDE), il modo in cui gestisci le carte di credito sul tuo sito. Anche se utilizzi servizi di terze parti come Stripe, Recurly, PayPal o un’altra opzione di pagamento sicuro, hai l’obbligo di seguire i requisiti stabiliti da PCI DSS.

I piccoli commercianti non sono esclusi da questi requisiti. I siti e-commerce non protetti sono obiettivi principali per i ladri di dati.

Se i dati sensibili dei clienti o i dati dei titolari di carta vengono rubati da un sito web di cui sei responsabile, potresti incorrere in sanzioni, multe elevate e persino perdere la possibilità di accettare carte di pagamento.

Perché la conformità PCI è importante?

La fiducia è la chiave del tuo business online. Se si verifica un incidente di sicurezza, può causare danni al traffico, alle entrate e alla reputazione del marchio. Lo shopping online sta crescendo in popolarità e i siti di e-commerce sono obiettivi per i criminali informatici che cercano di rubare dati sensibili dei clienti e informazioni sulla carta di credito.

Quanto è grande il tuo sito web di e-commerce? Con gli script automatici, gli hacker possono trovare siti con un negozio online, cercare vulnerabilità e ottenere accessi non autorizzati. I piccoli negozi web con poche vendite non sono esenti: i criminali sono opportunisti e si rivolgeranno a qualsiasi sito accessibile o risorse del server. Spesso è più facile hackerare un migliaio di piccoli siti e-commerce piuttosto che hackerare un grande rivenditore online.

I siti e-commerce sono sensibili a una serie di rischi e minacce:

  • I ladri di carte di credito mettono i clienti a rischio di furto di identità o frode con carta di credito.
  • Il dirottamento provoca la perdita delle vendite quando i clienti vengono reindirizzati a un carrello della spesa falso.
  • Il contenuto del sito iniettato può diffondere spam, malware e malvertising.
  • Le risorse del server possono essere rubate e utilizzate in campagne malware, attacchi DDoS, ecc.
  • I siti compromessi possono essere bloccati da motori di ricerca, programmi antivirus e browser.

Poiché ci sarà sempre un certo livello di rischio, la sicurezza è un processo continuo. Una corretta strategia di sicurezza e-commerce richiede frequenti valutazioni e diligenza.

Cosa succede se non sei conforme a PCI?

Se un commerciante viene ritenuto non conforme al PCI-DSS, ci possono essere una serie di sanzioni e conseguenze che vanno da multe, perdita di tempo e danni alla reputazione.

1- Sanzioni per mancanza compliance PCI

I siti non conformi a PCI possono subire pesanti sanzioni da parte dei regolatori del settore dei pagamenti se i clienti subiscono transazioni fraudolente. Il costo medio (in USA) di una violazione dei dati per una piccola impresa è di $ 86.500, con le organizzazioni aziendali che pagano fino a 4 milioni di dollari.

2- Regolamento GDPR

Ai sensi del GDPR, qualsiasi azienda che subisce la violazione delle informazioni personali dei residenti nell’UE ha 72 ore per notificare le autorità di vigilanza o rischiare di incorrere in multe pesanti. Questo regolamento si unisce a una serie di leggi federali e statali statunitensi che ritengono le organizzazioni responsabili della sicurezza dei dati dei clienti.

3- Sospensione delle carte di credito

Forse peggio delle multe, la possibilità di accettare pagamenti con carta di credito può essere revocata. Gli standard PCI sono creati dalle principali società di carte di credito e questa è la loro difesa contro i commercianti irresponsabili. Se si verifica una violazione dei dati per il tuo negozio di e-commerce, il consiglio PCI può revocare il privilegio di utilizzare le loro carte di pagamento.

4- Esame forense obbligatorio

I commercianti sospettati di una violazione dei dati sono tenuti dal PCI-DSS a sottoporsi a un esame forense obbligatorio, che richiede l’assunzione di professionisti e lo svolgimento di un’indagine che richiede tempo.

Un esame per piccole imprese può costare (in USA) tra $ 20.000 e $ 50.000.

5 – Notifica e monitoraggio del credito

Se si sospetta una compromissione delle informazioni finanziarie, un certo numero di Stati richiede al commerciante di informare i clienti e informarli della violazione. I commercianti potrebbero anche aver bisogno di produrre fino a un anno di monitoraggio del credito o servizi di consulenza per i clienti interessati.

6- Responsabilità per addebiti fraudolenti

Le cause legali possono rivendicare la responsabilità dei commercianti per violazioni della sicurezza. È importante sottolineare che la protezione delle informazioni sensibili dei clienti è una responsabilità dell’utente in quanto titolare di un’attività commerciale. Ecco perché avere un sito sicuro è vitale.

7- Costi di sostituzione della carta di credito

Gli emittenti di carte possono richiedere ai commercianti di pagare il costo di riemissione delle carte di credito, che include la spedizione, l’attivazione e la comunicazione al cliente. Queste commissioni possono variare da $ 3 a $ 10 per carta.

8- Nuova valutazione per la conformità PCI

Affinché un sito Web accetti nuovamente le transazioni con carta di credito, è necessario eseguire una rivalutazione PCI completa da parte di un Valutatore di sicurezza qualificato (QSA) esterno.

Elenco di controllo della conformità PCI

L’ultima versione di PCI DSS è la versione 3.2.1 rilasciata a maggio 2018.

I requisiti sono suddivisi in più requisiti secondari e centinaia di azioni. A prima vista, soddisfare tutti questi requisiti può sembrare un compito scoraggiante per un piccolo proprietario di siti.

Spieghiamo ogni requisito PCI in termini pratici per le piccole e medie imprese con infrastrutture limitate (ad esempio, un numero limitato di server, sfruttando server basati su cloud e fornitori esterni per l’elaborazione dei pagamenti).

1° Requisito: costruire e mantenere una rete sicura

Questo primo requisito riguarda direttamente la protezione e la documentazione della rete. A seconda del tuo livello di abilità, puoi farlo da solo o trovare un fornitore di servizi a prezzi accessibili che possa aiutarti.

Se si sta eseguendo il processo di valutazione PCI, si consiglia di seguire questi passaggi:

  • Identifica il tuo Card Data Environment (CDE). Se stai ospitando il tuo sito web internamente e gestendo i dati dei titolari di carta, la tua rete locale è probabilmente parte del CDE.
  • Scrivi un documento “Firewall Process” che elenca tutti i tuoi server, il loro scopo, chi ha accesso ad essi, cosa è accessibile dall’esterno e quali servizi sono in esecuzione lì.
  • Sulla base del tuo nuovo documento, crea una regola firewall che blocchi tutto e consenta solo ciò che è necessario per le funzioni aziendali richieste. Questo dovrebbe essere applicato sia al traffico in entrata che in uscita.
  • Scrivi queste regole nel tuo nuovo documento “Processo firewall” e applica le regole e le restrizioni a tutti i tuoi server.

Il completamento di questi passaggi ti aiuterà a soddisfare i requisiti per conoscere le tue risorse web, oltre a limitare e separare l’accesso tra ambienti attraverso un firewall.

Se stai cercando una soluzione semplice per soddisfare il primo requisito di conformità PCI, puoi utilizzare un Web Application Firewall (WAF) come Sucuri Firewall.

2° Requisito: non utilizzare i valori predefiniti forniti dal fornitore

Il Requisito 2 PCI afferma che non è necessario utilizzare i valori predefiniti forniti dal fornitore per le password di sistema e altri parametri di sicurezza. Soddisfacendo i requisiti 1 e 2 del PCI DSS, stai raggiungendo l’obiettivo di costruire e mantenere una rete sicura.

Ecco i nostri suggerimenti per soddisfare il Requisito 2 PCI:

  • Modificare sempre le impostazioni predefinite fornite dal fornitore e rimuovere o disabilitare gli account predefiniti non necessari prima di installare un sistema sulla rete.
  • Sviluppa standard di configurazione per tutti i componenti di sistema. Assicurare che questi standard affrontino tutte le vulnerabilità di sicurezza note e siano coerenti con gli standard di protezione del sistema accettati dal settore.
  • Crittografa tutti gli accessi amministrativi non da console utilizzando una crittografia avanzata. Utilizzare tecnologie come SSH, VPN o SSL / TLS per la gestione basata sul Web e altri accessi amministrativi non da console.
  • Mantenere un inventario dei componenti di sistema che rientrano nell’ambito del PCI DSS.
  • Garantire che le politiche di sicurezza e le procedure operative per la gestione delle impostazioni predefinite del fornitore e di altri parametri di sicurezza siano documentate, in uso e note a tutte le parti interessate.
  • I provider di hosting condiviso devono proteggere l’ambiente ospitato da ciascuna entità e i dati dei titolari di carta.

3° Requisito: protezione dei dati dei titolari di carta

Molti negozi online utilizzano un gateway di pagamento affidabile per aiutare a elaborare pagamenti e transazioni con carta di credito. Mentre questo può aiutarti a soddisfare alcuni requisiti PCI, non significa che sei completamente fuori dai guai!

Il requisito 3 del PCI-DSS stabilisce che è necessario proteggere i dati dei titolari di carta. Il modo migliore per soddisfare questo requisito è utilizzare un gateway di pagamento affidabile e non memorizzare i dettagli della carta di credito. Mantenendo solo gli ID cliente e le conferme di pagamento riuscite, si riduce significativamente l’impatto di un compromesso.

Un’altra raccomandazione importante (e talvolta trascurata) è quella di attuare politiche forti con dipendenti e colleghi applicando adeguate pratiche di sicurezza.

Non archiviare mai i dati delle carte di pagamento su dischi rigidi personali, USB o altri supporti esterni o mobili (inclusi i telefoni cellulari).

Ci sono una serie di cose che puoi fare per rispettare il requisito 3:

  • Non conservare i dati dei titolari di carta;
  • un secondo è abbastanza tempo per rubarlo.
  • Se è necessario memorizzarli, conservare i dati dei titolari di carta solo per il tempo necessario, quindi eliminarli in modo sicuro.
  • Scoraggiare l’assunzione di ordini via telefono, fax o e-mail con i dati della carta.
  • Consentire ai clienti di inserire i propri dati dei titolari di carta nei gateway di pagamento.
  • Non trasmettere mai i dati dei titolari di carta senza crittografia.

Inoltre, sconsigliamo vivamente di evadere i pagamenti da soli – il raggiungimento corretto di questi comporta notevoli sforzi di sicurezza per mantenere la conformità PCI.

La commissione assunta dai processori di pagamento (ad es. PayPal) è molto inferiore a quella che un’azienda media pagherebbe per garantire la sicurezza continua dei dettagli di pagamento. I piccoli negozi online rappresentano una grave minaccia per i loro clienti, motivo per cui la mancata conformità può comportare conseguenze finanziarie e responsabilità legale.

4° Requisito: crittografare la trasmissione dei dati dei titolari di carta

Il requisito 4 del PCI-DSS stabilisce che è necessario crittografare la trasmissione dei dati dei titolari di carta attraverso reti pubbliche aperte.

SSL / TLS è la tecnologia utilizzata per proteggere e crittografare i dati sensibili mentre viaggiano tra due sistemi. Sebbene protocolli tecnicamente diversi, il termine “SSL” viene comunemente utilizzato per fare riferimento a qualsiasi connessione HTTP crittografata, incluso TLS. Quando si utilizza un certificato SSL, è possibile accedere al sito Web tramite HTTPS anziché HTTP.

Come sito web che accetta pagamenti, l’utilizzo di TLS v1.1 e versioni successive è obbligatorio per la conformità PCI.

La crittografia di dati sensibili come numeri di carta di credito, informazioni sul titolare della carta e password protegge i tuoi clienti e previene transazioni fraudolente e violazioni dei dati.

L’uso di TLS previene gli attacchi man-in-the-middle (MITM), che si verificano quando malintenzionati intercettano segretamente e possibilmente modificano i dati sensibili degli utenti e le credenziali tramite reti non sicure.

I certificati SSL sono anche utili per stabilire e mantenere la fiducia. Ciò consente di visualizzare l’icona del lucchetto verde nella barra degli indirizzi del browser.

I certificati di convalida dell’organizzazione (OV) e di convalida estesa (EV) fungono da indicatore di credibilità sia per i tuoi utenti che per i motori di ricerca, mostrando il nome dell’azienda oltre al lucchetto verde.

L’uso di SSL può anche migliorare le tue posizioni SEO. Le autorità di ricerca come Google hanno incoraggiato i webmaster a proteggere i loro siti classificando i siti con HTTPS più alti di quelli senza certificati.

Molti provider di hosting offrono certificati SSL gratuiti e a pagamento. Possono anche aiutarti a implementare i certificati per te. Se sei un utente Sucuri Firewall, offriamo LetsEncrypt certificati SSL gratuiti per impostazione predefinita.

5° Requisito: mantenere un programma di gestione delle vulnerabilità

Nella maggior parte dei casi, i cattivi attori non scelgono manualmente i siti da attaccare poiché ciò richiede molto tempo. La maggior parte degli attacchi contro i siti è automatizzata ed eseguita da bot che cercano siti web con vulnerabilità note.

Il Requisito 5 PCI DSS stabilisce che è necessario proteggere tutti i sistemi dal malware e aggiornare regolarmente i programmi antivirus.

Per ottemperare al requisito PCI 5, si consiglia quanto segue:

  • Distribuire software antivirus su tutti i sistemi comunemente interessati da software dannoso (in particolare personal computer e server).
  • Assicurarsi che tutti i meccanismi antivirus siano mantenuti.
  • Garantire che i meccanismi antivirus siano attivi e che non possano essere disabilitati o alterati dagli utenti, a meno che non siano specificamente autorizzati dalla direzione caso per caso per un periodo di tempo limitato.
  • Garantire che le politiche di sicurezza e le procedure operative per la protezione dei sistemi dai malware siano documentate, in uso e note a tutte le parti interessate.

Soluzioni come Sucuri possono aiutare a mitigare le minacce malware a livello di sito e server, ma dovrai utilizzare un antivirus sui computer di chiunque acceda al sito e ai suoi dati. Dovrai anche proteggerti dai vettori di attacco al di fuori della directory del sito, incluso l’accesso tramite SSH e FTP.

6° Requisito: sviluppo e manutenzione di sistemi e applicazioni sicuri

Il Requisito 6 PCI afferma che i proprietari di siti devono garantire che i componenti del sistema siano protetti da vulnerabilità note e che le vulnerabilità di codifica comuni debbano essere affrontate.

Il modo migliore per soddisfare il Requisito 6 PCI è mantenere aggiornati il ​​software e le patch di sicurezza per proteggere il sito Web e gli ambienti.

Non importa se hai appena iniziato e il tuo sito web è piccolo con pochissimo traffico. Se hai un CMS, un’estensione, un plug-in o un tema vulnerabili sul tuo sito web, verrai probabilmente identificato da un bot dannoso in futuro.

Mantenendo aggiornati e aggiornati i componenti del software e del sistema del tuo sito Web, non stai solo mitigando il rischio di attacchi automatici, ma assicurando anche la conformità PCI.

Se non riesci ad aggiornare un tema o un plugin vulnerabile per il tuo CMS, puoi comunque mitigare i tentativi di sfruttamento con un firewall che offre patch virtuali per impedire lo sfruttamento di vulnerabilità.

Ti consigliamo di dare un’occhiata alle nostre funzionalità firewall conformi a PCI e come utilizzarne una per proteggere il tuo sito Web, proteggere il tuo CDE e mantenere la conformità.

I requisiti 7, 8 e 9 del PCI DSS condividono un obiettivo comune di implementazione di forti misure di controllo dell’accesso. Queste misure di controllo dell’accesso esistono per garantire che i dati dei tuoi clienti siano protetti contro i cattivi attori e accessibili solo da persone autorizzate.

7° Requisito: Limitazione dell’accesso ai dati dei titolari di carta per motivi di business

Il requisito PCI 7 stabilisce che è necessario limitare l’accesso ai dati dei titolari di carte in base alle necessità aziendali. Ciò significa configurare i tuoi sistemi in modo che siano accessibili solo a persone autorizzate.

Al fine di rispettare il requisito 7 e rimanere conforme PCI:

  • Limitare l’accesso solo a quegli individui il cui lavoro richiede tale accesso.
  • Esaminare la politica scritta per il controllo degli accessi e spiegarne l’importanza.
  • Garantire che le politiche di sicurezza e le procedure operative per limitare l’accesso ai dati dei titolari di carta siano documentate, in uso e note a tutte le parti interessate.

8° Requisito: Identificare e autenticare l’accesso ai componenti di sistema

Il requisito 8 stabilisce che si assegna un ID univoco a ogni persona con accesso ai componenti di sistema in modo da poter limitare il loro accesso e monitorare le loro attività.

Ecco alcune idee per aiutare a rispettare il Requisito 8:

  • Creare e documentare politiche e procedure per garantire che solo individui specifici abbiano accesso ai dati dei titolari di carta. Questo può essere fatto assegnando ID univoci e sicuri.
  • Implementare l’autenticazione a due fattori sia per i dipendenti che per i fornitori di terze parti.
  • Non utilizzare ID di gruppo, condivisi o generici, password o altri metodi di autenticazione simili.
  • L’accesso a qualsiasi database contenente i dati dei titolari di carta deve essere limitato.
  • Garantire che le politiche di sicurezza e le procedure operative per l’identificazione e l’autenticazione siano documentate, in uso e note a tutte le parti interessate.

L’uso di ID univoci consente di monitorare e implementare facilmente i controlli di accesso per ogni individuo. L’autenticazione dell’utente impedisce l’accesso non autorizzato ai dati sensibili e alle informazioni dei titolari di carta.

9° Requisito: attuare misure di controllo dell’accesso efficaci

Il requisito PCI 9 stabilisce che è necessario limitare l’accesso fisico ai dati dei titolari di carta. Ciò è particolarmente importante per i fornitori che dispongono di personale o personale in loco e archiviano fisicamente tutti i dati dei titolari di carta senza terzi.

L’accesso fisico può fare riferimento a:

  • dispositivi;
  • dati;
  • sistemi di dati delle carte di pagamento;
  • copie cartacee dei dati delle carte di pagamento e altro.

Gli aggressori sfruttano spesso credenziali utente deboli per ottenere accesso non autorizzato ad ambienti server e CMS, quindi è molto importante seguire le migliori pratiche di sicurezza delle password.

Il mantenimento di controlli rigorosi può aiutare a identificare le persone che accedono fisicamente alle aree in cui sono archiviati i dati dei titolari di carta. Ciò è importante anche per proteggere le informazioni di identificazione personale, soprattutto se è necessario rispettare i requisiti del Regolamento generale sulla protezione dei dati (GDPR).

Ecco alcune restrizioni chiave per continuare a ridurre al minimo il rischio:

Prese di rete: la limitazione dell’accesso alle prese di rete impedirà ai cattivi attori di collegarsi a ingressi prontamente disponibili che potrebbero consentirli nella rete. Considera di disattivare i jack di rete quando non in uso e riattivarli solo quando necessario. Inoltre, assicurati di creare reti private per uso interno e una pubblica per i visitatori per limitare l’esposizione alle informazioni protette.

Visitatori e personale non autorizzato: i controlli sui visitatori sono importanti per limitare determinate aree e garantire che siano identificabili come visitatori. Rende più facile individuare attività insolite. Ciò può includere anche dipendenti che non hanno motivo di avvicinarsi ai punti di accesso sensibili. Ad esempio, il gestore dei social media non dovrebbe avere bisogno di accedere a una struttura di archiviazione in cui i dati dei titolari di carta sono prontamente disponibili. Un registro che tiene traccia delle informazioni sul visitatore sarà utile in caso di indagine sulla violazione dei dati. Tenere un registro può aiutare a identificare quali visitatori hanno accesso fisico a una stanza e chi ha un potenziale accesso ai dati dei titolari di carta. Prendi in considerazione i registri all’ingresso delle strutture e in particolare delle aree designate in cui risiedono i dati.

Monitoraggio dei dati personali / del titolare della carta: se un visitatore si è fatto strada attraverso una sequenza autorizzata di porte all’interno della struttura, i dati del titolare della carta sono comunque suscettibili alla visualizzazione, copia o scansione non autorizzata se non protetti. Può anche essere accidentale se i dipendenti autorizzati non sono ben informati. Un numero sorprendente di aziende ha i dati dei titolari di carta su supporti portatili, dischi rigidi, foglietti adesivi o copie cartacee stampate sulla scrivania di qualcuno. Ciò è particolarmente problematico con gli ordini effettuati per telefono, fax o e-mail. Senza un’adeguata visibilità o protezione, i dati possono essere rubati e utilizzati per scopi fraudolenti. È importante assicurarsi che i dati rimangano nascosti / crittografati se non immediatamente necessari. Lo sviluppo di un pr approvato ocess per la gestione dei dati sensibili aiuterà a rispettare il Requisito 9.6: mantenere un controllo rigoroso sulla distribuzione interna o esterna di qualsiasi tipo di supporto.

Rimozione fisica dei dati:

  • 9.10 Distruggi i supporti contenenti i dati dei titolari di carta quando non sono più necessari per motivi commerciali o legali come segue:
  • 9.10.1 Distruggere, incenerire o estrarre materiali cartacei in modo che i dati dei titolari di carta non possano essere ricostruiti.
  • 9.10.2 Rendere i dati dei titolari di carta su supporti elettronici irrecuperabili in modo che i dati dei titolari di carta non possano essere ricostruiti.

È necessario prendere provvedimenti per distruggere le informazioni sui titolari di carta contenute nei dispositivi elettronici. Smaltire le copie cartacee tramite triturazione della carta. In caso contrario si può verificare una grave violazione dei dati, con conseguente reputazione negativa e multe costose dopo un’indagine.

Una cosa da considerare è il “dumpster diving“. Qui è dove i malintenzionati cercano nel cestino e riciclano i contenitori per cercare dispositivi che potrebbero contenere dati. Se trovano un’unità USB non crittografata che non è stata cancellata prima dello smaltimento o una carta che non è stata distrutta abbastanza finemente; le conseguenze possono essere importanti.

Avere un processo per distruggere correttamente i media con i dati dei titolari di carta, compresa la corretta conservazione prima dello smaltimento, aiuterà con il Requisito 9.8: distruggere i media quando non sono più necessari per motivi commerciali o legali.

L’uso di password complesse e univoche sul sito, la limitazione dei privilegi disponibili per gli utenti tramite ruoli assegnati e l’abilitazione dell’autenticazione in due passaggi o a più fattori è obbligatoria per la conformità PCI. Ciò riduce il rischio di compromissione del sito Web o violazione dei dati da parte di un cattivo attore.

Se possiedi un sito e collabori con altri, il principio del privilegio minimo è un principio molto solido a cui aderire. Questo principio di informatica ha applicazioni e vantaggi per rafforzare la posizione di sicurezza del tuo sito web.

10° Requisito: tenere traccia e monitorare tutti gli accessi alle risorse di rete e ai dati dei titolari di carta

Il Requisito 10 PCI è uno dei requisiti più importanti per la conformità PCI. Questo requisito stabilisce esplicitamente che è necessario implementare audit trail e rivedere i registri per monitorare le risorse Web e identificare un compromesso o una violazione dei dati.

Lo scopo del Requisito 10 PCI è essenzialmente quello di determinare il “chi, cosa, dove e quando” degli utenti che accedono alle risorse di elaborazione dei dati e agli ambienti del sito Web. Conoscere queste informazioni è fondamentale nel caso in cui mancino informazioni sensibili (come i dati delle carte di credito).

Se non si registra correttamente tutti gli utenti interni ed esterni, potrebbe non essere possibile individuare una sequenza temporale di violazione o identificare chi è responsabile di un compromesso.

Si consiglia di utilizzare il monitoraggio della sicurezza e i controlli di integrità per assicurarsi che i file e le pagine Web non siano stati manomessi, il che potrebbe essere il primo segno di un compromesso.

I sistemi di monitoraggio dell’integrità verificano i file sul tuo sito Web e ti avvisano di eventuali modifiche sospette alle impostazioni DNS, ai certificati SSL o alle modifiche dei file core.

Numerose diverse soluzioni di monitoraggio cercano anche indicatori di compromesso (IoC), che possono includere malware, iniezioni di JavaScript offuscate, scripting cross-site, phishing, backdoor, drive-by-download, spam SEO, defacement, reindirizzamenti dannosi o condizionale malware.

11° Requisito: test periodici di sistemi e processi di sicurezza

Il requisito PCI 11 stabilisce che è necessario testare regolarmente i sistemi e i processi di sicurezza. Ciò include la scansione e la segnalazione di potenziali vulnerabilità nella rete sia esternamente che internamente.

Malintenzionati e ricercatori continuano a scoprire le vulnerabilità, in particolare con l’introduzione di nuovi software. Ad esempio, recentemente WordPress ha pubblicato una patch quasi immediata dopo il debutto ufficiale di Gutenberg.

Raccomandiamo quanto segue per aiutare a rispettare il Requisito 11 PCI:

  • Esegui scansioni di vulnerabilità ogni pochi mesi e dopo eventuali grandi cambiamenti.
  • Implementare un sistema per i test di penetrazione del sito Web.
  • Utilizzare tecniche di rilevamento e prevenzione per proteggersi dagli hacker.
  • Monitorare eventuali modifiche ai file di sistema, di configurazione o di contenuto.
  • Garantire che le politiche e le procedure di sicurezza siano documentate e seguite.

A tale scopo, è necessario sfruttare appieno un Web Application Firewall (WAF) che può anche funzionare come strumento di patching virtuale.

12 Requisito 12 CPI: mantenere una politica di sicurezza delle informazioni

Il requisito PCI 12 è di mantenere una politica che affronti la sicurezza di tutto il personale. Questa politica deve essere rivista ogni anno (almeno) e include un processo di valutazione del rischio, un piano di risposta agli incidenti e politiche di utilizzo.

Questo requisito è suddiviso in diversi sotto-requisiti:

  • Stabilire, documentare, mantenere e seguire una politica di sicurezza delle informazioni.
    Implementare un processo di valutazione del rischio e assegnare responsabilità di sicurezza.
  • Sviluppare politiche di utilizzo per le tecnologie critiche e definire l’uso corretto di queste tecnologie (come script e librerie di terze parti per il tuo sito).
  • Assicurati che le politiche e le procedure di sicurezza definiscano chiaramente ciò che ti aspetti e le responsabilità di ogni tuo dipendente. Inoltre, renderli consapevoli dell’importanza di proteggere i dati dei clienti.
  • Controlla i nuovi assunti e tutti i fornitori di servizi di terze parti con accesso ai dati dei titolari di carta per ridurre al minimo il rischio di attacchi da fonti interne. Dovrebbero concordare di proteggere i dati dei titolari di carta per iscritto.
  • Implementare un piano di risposta agli incidenti. Preparati a rispondere immediatamente a una violazione del sistema. Può succedere a chiunque.

Se stai utilizzando WordPress, puoi utilizzare il plug-in di sicurezza WordPress gratuito di Sucuri per monitorare le modifiche ai file, rivedere le piste di controllo, applicare funzionalità di protezione e rilevare malware.

Conclusione sulla conformità PCI DSS

I siti e-commerce non conformi spesso subiscono pesanti sanzioni da parte dei regolatori del settore dei pagamenti se i loro clienti si lamentano di frodi dopo aver utilizzato il sito.

Gli standard PCI mostrano che il costo medio di una violazione per un sito web di grandi dimensioni (mercato USA) è di 4 milioni di dollari, mentre il costo medio di una violazione dei dati per le PMI è di $ 86.500.

Se si verifica una violazione dei dati per il tuo negozio di e-commerce, potresti persino avere la possibilità di accettare pagamenti con carta di credito sospesa o revocata.

Ci sono anche danni non monetari che possono essere estremamente dannosi per la tua attività e reputazione.

Uno studio del 2017 condotto dal Ponemon Institute ha dimostrato che:

  • Il 57% delle persone ha perso la fiducia e la fiducia nell’organizzazione dopo una violazione dei dati.
  • Il 31% delle persone ha interrotto il rapporto con l’organizzazione dopo una violazione dei dati.
  • Il 75% dei dirigenti ha affermato che la violazione dei dati ha avuto un impatto sulla reputazione dell’azienda.

I tipi di minacce variano, incidendo sulla conformità PCI e sul panorama della sicurezza in diversi modi.

Se hai bisogno di aiuto per proteggere il tuo negozio online, contattaci per una consulenza.

Hai un problema di sicurezza? Richiedi un preventivo

Servizi professionali a partire da 100,00 € + IVA

Nome e Cognome

Email *

Che problemi di sicurezza hai riscontrato? *

sito compromessoplugin con malwareseo spamphishingblacklistaltro

Contatto telefonico

* Acconsento al trattamento dei dati personali per comunicazioni di natura commerciale dopo aver letto e compreso l' informativa sulla privacy

* campi richiesti

 

Se vuoi condividere la tua esperienza sul caso, commenta sotto.

Articolo apparso per la prima volta in www.fedegrafia.com il 27/09/2019, la notizia può essere condivisa attraverso link con attribuzione all’autore. Non può in ogni caso essere copiata senza autorizzazione.

Estratto della guida [qui l’originale in inglese] autorizzato da Sucuri che detiene il copyright dei testi e dell’immagine.

 

Federico Benvenuto
info@fedegrafia.com

Mi chiamo Federico Benvenuto, web designer e grafico freelance a Pordenone. Mi occupo di creazione siti internet, consulenza web marketing e SEO, di grafica e stampa, corsi su contenuti internet e servizi fotografici. Ho una specializzazione Tecnico web designer – editing multimediale e in Comunicazione digitale per l’e-government ottenute presso Enaip FVG. Ho conseguito il diploma di Fotografia Professionale Avanzata presso CSG G. Micesio di Udine. Sono laureato in Economia e Commercio ed ho una specializzazione di secondo livello in Marketing per le piccole medie imprese. Lavoro principalmente per pmi, enti pubblici e organizzatori eventi della provincia di Pordenone, Udine e del Veneto orientale (province di Venezia e Treviso).

No Comments

Scrivi un Commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.