Categories: NewsNewsletter

PCI DSS versione 4.0: Come rispondere agli incident di discovery di dati sensibili

Nel marzo 2022, il PCI Standards Security Council (PCI SSC) ha rilasciato pubblicamente l’ultimo aggiornamento del PCI Data Security Standards (DSS), versione 4.0. Se non l’avete ancora fatto, è il momento di iniziare a scoprire i dettagli e i modi per prepararsi alla conformità. La vostra azienda non sarà tenuta a rispettare gli standard PCI DSS versione 4.0 fino a marzo 2024. È il momento di mettere in atto soluzioni che vi consentano di soddisfare e mantenere la conformità agli standard PCI DSS con la versione 4.0.

Aspettarsi l’inaspettato

Con il rilascio della nuova versione 4.0 degli standard PCI DSS, sono stati aggiunti una serie di chiarimenti e controlli basati sulla valutazione del settore delle tecnologie in continua evoluzione, sul feedback degli stakeholder e sui risultati delle indagini sulle violazioni. Gli standard PCI DSS sono un insieme minimo di controlli di base per la protezione dei dati delle carte di pagamento e, con l’evolversi della tecnologia, anche i requisiti di protezione devono evolversi. Con la versione 4.0, ad esempio, PCI DSS ha spostato l’attenzione su requisiti incentrati sugli obiettivi.

Una delle nuove aree di interesse è l’inclusione dei dati dei titolari di carta nelle procedure di incident rispose ogni volta che vengono trovati in aree non previste. Il requisito 12.10.7 aggiunge questo aspetto allo standard come semplice “best practice” fino al 31 marzo 2025, dopodiché diventerà un requisito obbligatorio per tutte le aziende.

Requisito 12.10.7: Esistono procedure di incident response, da avviare al rilevamento di un PAN memorizzato in un luogo anomalo, che comprendono:

  • Determinare cosa fare se il PAN viene scoperto al di fuori del CDE, compreso il suo recupero, l’eliminazione sicura e/o la migrazione nel CDE attualmente definito, a seconda dei casi.
  • Identificare se i dati di autenticazione sensibili sono memorizzati con il PAN.
  • Determinare la provenienza dei dati dell’account e il modo in cui sono finiti in un luogo non previsto.
  • Rimediare alle fughe di dati o alle lacune dei processi che hanno portato i dati dell’account in un luogo non previsto.

Trovare ciò che non si sta cercando

Come può un’azienda svolgere questo compito in modo significativo senza effettuare una ricerca attiva dei dati in tempo quasi reale? In parole più semplici: Come si fa ad attivare un allarme per qualcosa che non si sta scansionando perché non rientra nell’ambito di applicazione?

Eseguire il rilevamento dei dati su un sistema o all’interno di un’applicazione ogni trimestre, sei mesi o, peggio, ogni anno non fornisce alcuna garanzia che questo controllo stia effettivamente fornendo valore all’azienda. Sebbene l’intento del controllo sia quello di garantire che le aziende abbiano una risposta documentata quando si verifica una violazione del loro ambito e che venga eseguita l’azione corretta, è importante notare che i dati sensibili che si trovano in luoghi in cui non dovrebbero essere collocati sono e sono sempre stati un incidente di sicurezza. Le norme PCI DSS possono non averlo specificamente indicato in passato, ma i dati della carta che si trovano in luoghi non adatti devono essere trattati come un incidente di sicurezza. In caso contrario, di default l’ente sta confermando che quel luogo è approvato per l’archiviazione o la trasmissione dei dati della carta.

Trovare e distruggere (o rimediare!) con la discovery automatizzata

Cosa può fare un’azienda per migliorare il proprio programma di sicurezza e governance dei dati? L’implementazione corretta di questi controlli in modo avanzato e automatizzato può contribuire in modo significativo ad aumentare la  sicurezza di un’azienda, oltre a fornire un enorme balzo in avanti verso la riduzione dei rischi, il tutto mantenendo la conformità. Tuttavia, la sfida rimane quella di trovare i dati in luoghi in cui non ci si aspetta che siano, soprattutto quando questi luoghi si trovano al di fuori dell’ambito PCI definito.

L’esecuzione di un rilevamento automatico su workstation, server e altri dispositivi può aiutare a combattere la dispersione dei dati che è prevalente nel mondo di oggi. Poiché molte persone che prima lavoravano in ufficio ora portano la tecnologia a casa, le aziende hanno faticato a mantenere processi e flussi di lavoro che proteggessero al contempo la società e consentissero la produttività.

Fortunatamente, soluzioni come PK Protect sono in grado di eseguire il rilevamento in tempo reale su una miriade di piattaforme, comprese tutte le tecnologie più comuni per gli utenti, indipendentemente dal fatto che le aziende considerino o meno il posto in questione come parte dell’ambito PCI. Quando i dati vengono rilevati, la piattaforma PK Protect può trasmettere gli eventi in syslog e in altri formati comuni, consentendo alle aziende di segnalare adeguatamente la scoperta di dati sensibili. Ciò consente di gestire le discovery dei dati nello stesso modo in cui i team di sicurezza gestiscono gli incidenti esistenti, senza la necessità di nuove applicazioni o complessità aggiuntive.

Ogni volta che vengono rilevati dei dati, PK Protect consente al team di sicurezza di classificare, crittografare, eliminare, mettere in quarantena o addirittura cancellare automaticamente i dati rilevati in base alla posizione, all’utente, al tipo di dati o ad altri criteri definiti dall’azienda. Ciò consente una risposta immediata, che supporta ulteriormente il processo di risposta agli incidenti aziendali, consentendo al team di sicurezza di avere il tempo necessario per gestire correttamente un incidente con la certezza che i dati sono già stati protetti e/o distrutti.

Il mondo è certamente cambiato dall’ultimo aggiornamento importante degli standard PCI DSS nel 2018. I cambiamenti della versione 4.0 possono sembrare molti da preparare, ma non dovete farlo da soli. PKWARE può aiutarvi.

Fonte: PKware

Alessandra Bellotti

Comments are closed.

Recent Posts

Cos’è l’isolamento del browser remoto?

L’isolamento del browser remoto (RBI) è una soluzione di sicurezza informatica che riduce notevolmente le minacce informatiche consentendoti di navigare su Internet…

4 settimane ago

Scopri il Lancio Autunnale 2024 di Lansweeper!

Le temperature calano, le foglie si tingono di nuovi colori e il guardaroba estivo è ormai riposto fino al prossimo…

4 settimane ago

Sicurezza degli endpoint mobili: Perché migliorare l’EDR per i dispositivi mobili è fondamentale

Quanto sono sicuri i dispositivi mobili della vostra azienda? Sebbene possiate avere il controllo sulla sicurezza dei dispositivi e della…

4 settimane ago

Omnissa nominata Leader nell’IDC MarketScape 2024 per il Virtual Client Computing

Omnissa è stata nominata Leader nel 2024 IDC MarketScape Worldwide Virtual Client Computing Vendor Assessment* (2024, IDC #US51271924). Questa è…

1 mese ago

Omnissa ONE: Successo per il primo evento in Europa presso il Postillion Hotel and Convention Centre di Amsterdam

Omnissa celebra il successo del suo primo grande evento europeo, Omnissa ONE, tenutosi presso il Postillion Hotel and Convention Centre…

2 mesi ago

Keeper è stato nominato leader G2 in diverse categorie di sicurezza informatica nell’autunno 2024

Keeper Password Manager è stato valutato dagli utenti su G2, il più grande e affidabile marketplace di software al mondo,…

2 mesi ago