Il PCI DSS outsourcing è una strategia valida e diffusa, ma viene spesso fraintesa. Non esiste un modo per delegare completamente la responsabilità PCI DSS a un terzo: alcune responsabilità rimangono sempre in capo al merchant, per contratto con l'acquirer e per la natura stessa dello standard. Capire dove finisce la responsabilità del provider e dove inizia quella del merchant è fondamentale per costruire un modello di compliance sostenibile e senza sorprese in caso di audit o breach.
Cosa si può davvero esternalizzare nel PCI DSS
La parte di compliance più facilmente esternalizzabile riguarda la gestione dei dati carta. Un provider di tokenizzazione certificato PCI DSS Level 1 prende in carico la memorizzazione sicura dei PAN, la cifratura, la gestione del vault, i controlli di accesso ai dati carta, il vulnerability scanning della propria infrastruttura e il penetration test periodico. Il merchant che usa questo provider non deve preoccuparsi di nessuno di questi aspetti per i dati carta che gestisce il provider.
Si può esternalizzare anche la gestione dell'infrastruttura di rete e di elaborazione dei pagamenti. Un provider PCI DSS as a Service che gestisce l'hosting, i firewall, i sistemi di monitoraggio e le patch di sicurezza degli ambienti di pagamento trasferisce al merchant la responsabilità residuale del proprio perimetro ridotto. Questa delega funziona perché il PCI DSS prevede esplicitamente la catena di responsabilità tra merchant e service provider: il service provider attestato come conforme copre i controlli inclusi nel proprio servizio, e il merchant copre i controlli residuali nel proprio ambiente.
Cosa rimane sempre responsabilità del merchant
Anche con il massimo livello di outsourcing, alcune responsabilità non possono essere delegate. Il merchant rimane sempre responsabile della compilazione e firma del SAQ o, nei livelli superiori, dell'ingaggio di un QSA per il ROC. Questa responsabilità è contrattuale con l'acquirer e non può essere trasferita al provider di servizi. Il merchant deve anche gestire le proprie policy di accesso fisico e logico ai sistemi aziendali che si interfacciano con l'ambiente di pagamento, anche se ridotto.
Rimane in capo al merchant anche la responsabilità di formare il personale che gestisce processi di pagamento, di verificare periodicamente che i propri fornitori mantengano la certificazione PCI DSS e di documentare il perimetro del proprio CDE. Quest'ultimo punto è critico: molti merchant che usano provider certificati non documentano correttamente il proprio scope ridotto e si trovano in difficoltà quando l'acquirer richiede chiarimenti sul SAQ. Il provider può fornire documentazione di supporto, ma la responsabilità della corretta compilazione del SAQ è sempre del merchant.
Il modello PCI DSS as a Service con PCI Proxy EU
Con PCI Proxy EU, il merchant delega al provider la gestione completa dei dati carta: tokenizzazione, vault cifrato in Europa, conformità PCI DSS Level 1 dell'infrastruttura di pagamento. Il merchant mantiene il controllo del proprio business e dei flussi di pagamento, ma senza che i dati carta entrino mai nel suo ambiente. Questo permette al merchant di qualificarsi tipicamente per il SAQ A, riducendo il proprio perimetro di responsabilità diretta ai pochi controlli richiesti da quel questionario.
Il modello as-a-service include anche supporto nella compilazione del SAQ, documentazione del perimetro e, su richiesta, attestazione del provider come service provider conforme PCI DSS che il merchant può allegare alla propria documentazione di compliance. Questo semplifica notevolmente il processo annuale di rinnovo della conformità con l'acquirer. Il merchant non deve ingaggiare consulenti esterni per l'audit o per il vulnerability scanning dell'infrastruttura di pagamento: tutto questo rientra nel perimetro del provider.
Domande frequenti
Esternalizzando la conformità PCI sono al sicuro da sanzioni?
Parzialmente. Esternalizzare la gestione dei dati carta a un provider certificato riduce significativamente il rischio di breach e di sanzioni associate. Ma se il merchant non compila correttamente il SAQ, non gestisce i propri accessi o non forma il personale sui processi di pagamento, le responsabilità residuali rimangono. In caso di audit o breach, l'acquirer verificherà anche la parte del perimetro che rimane al merchant, non solo quella del provider.
Il mio fornitore può firmare una lettera di responsabilità PCI?
Sì. I service provider PCI DSS certificati rilasciano tipicamente una lettera di responsabilità (Responsibility Matrix o Attestation of Compliance) che documenta quali controlli PCI DSS rientrano nel perimetro del provider e quali rimangono al merchant. Questo documento è utile da allegare al SAQ quando l'acquirer richiede documentazione del perimetro. Verifica con il tuo provider che la sua certificazione sia aggiornata e che la lettera di responsabilità faccia riferimento specificamente ai servizi che utilizzi.
Quanto costa esternalizzare rispetto a gestirlo internamente?
Per la maggior parte dei merchant di medie dimensioni, esternalizzare a un provider certificato è significativamente meno costoso della gestione interna. I costi interni includono infrastruttura certificata, vulnerability scanning trimestrale, penetration test annuale, formazione del personale e consulenza QSA. Un merchant che gestisce internamente un CDE completo può spendere da 50.000 a oltre 200.000 euro all'anno in compliance. Un servizio di tokenizzazione as-a-service ha un costo fisso prevedibile, tipicamente nell'ordine di grandezza inferiore.
Delega la compliance PCI DSS mantenendo il controllo del tuo business: la tokenizzazione as-a-service è il modello più efficiente per la maggior parte dei merchant. Scopri PCI Proxy EU.