La pci dss compliance non è un evento annuale da svolgere a scatola chiusa: è un processo continuo che tocca reti, sistemi, persone e procedure. Per un merchant o una PMI che non vuole costruire un team dedicato, avere una checklist chiara è il punto di partenza. Questa guida elenca gli 8 punti concreti della conformità PCI DSS e spiega dove la tokenizzazione taglia il lavoro in modo radicale.
Perimetro e dati carta: il primo passo della compliance PCI DSS
Prima di seguire qualsiasi checklist, devi capire esattamente dove passano e dove vengono conservati i dati carta nel tuo ambiente. Il PAN (Primary Account Number), la data di scadenza e il CVV sono i dati sensibili che il PCI DSS protegge. Se uno solo di questi dati transita attraverso un tuo server, quel server entra nel CDE (Cardholder Data Environment) e diventa soggetto a tutti i requisiti.
Molte aziende scoprono tardi che il loro CDE è molto più ampio del previsto: un server di log che registra le richieste HTTP, un database di backup non segmentato, un sistema CRM che salva numeri di carta per il customer service. Mappare il flusso dati prima di compilare qualsiasi documento è il prerequisito di tutto il resto.
La checklist PCI DSS in 8 punti concreti
I 12 requisiti ufficiali PCI DSS si traducono in attività operative precise. Ecco i principali adempimenti che ogni merchant deve affrontare:
- Firewall e segmentazione di rete: installare e mantenere configurazioni firewall che isolino il CDE dal resto dell'infrastruttura.
- Niente default di fabbrica: cambiare tutte le password predefinite su dispositivi, router e applicazioni prima della messa in produzione.
- Protezione dei dati archiviati: non conservare mai CVV dopo l'autorizzazione; cifrare i PAN con algoritmi approvati se devono essere conservati.
- Cifratura in transito: usare TLS 1.2 o superiore per qualsiasi trasmissione di dati carta su reti pubbliche.
- Antivirus e vulnerability management: aggiornare sistemi e applicazioni, eseguire vulnerability scan almeno ogni trimestre.
- Controllo degli accessi: principio del minimo privilegio, autenticazione multi-fattore per l'accesso al CDE, revisione periodica degli utenti.
- Monitoraggio e logging: registrare tutti gli accessi ai componenti del CDE, conservare i log per almeno 12 mesi.
- Test e pen test: eseguire penetration test almeno una volta l'anno e dopo modifiche significative all'infrastruttura.
Come ridurre il 90% degli adempimenti con la tokenizzazione
Ogni punto della checklist si applica solo ai sistemi che trattano dati carta reali. Se il tuo ambiente non vede mai un PAN, la maggior parte degli adempimenti non ti riguarda. La tokenizzazione trasforma questa logica in pratica: invece di ricevere il numero di carta, il tuo sistema riceve un token opaco generato da un vault certificato PCI DSS Level 1 come PCI Proxy EU.
Il risultato concreto è un CDE ridotto quasi a zero: niente firewall aggiuntivi da certificare, niente cifratura dei database da implementare, niente penetration test su sistemi che non toccano più i PAN. Rimangono attivi solo i requisiti base legati alla tua rete e ai tuoi utenti, che sono un sottoinsieme molto più gestibile. Merchant che adottano questa architettura passano spesso dal SAQ D (più di 300 domande) al SAQ A (meno di 30 domande).
Domande frequenti
Chi è obbligato al PCI DSS?
Qualsiasi organizzazione che accetta, processa, archivia o trasmette dati di pagamento con carta. Non esistono esenzioni per dimensione: anche un piccolo ecommerce con poche transazioni al mese deve essere conforme. L'obbligo deriva dal contratto con l'acquirer o la banca che abilita i pagamenti con carta.
Quanto costa la conformità PCI DSS per una PMI?
I costi variano molto in base al perimetro. Una PMI con CDE esteso può spendere tra 10.000 e 50.000 euro l'anno tra consulenza, pen test, vulnerability scan e certificazioni. Con la tokenizzazione e un perimetro minimo, molte PMI gestiscono la compliance con un SAQ autonomo e costi annui inferiori a 2.000 euro.
Cosa succede se non si è conformi?
Le conseguenze principali sono: sanzioni mensili degli schemi carta (Visa, Mastercard) da 5.000 a 100.000 dollari, aumento delle commissioni di interchange, possibile revoca della capacità di accettare pagamenti con carta. In caso di breach, si aggiungono i costi di forensics, notifica e rimborso delle frodi.
Vuoi ridurre la tua checklist PCI DSS agli elementi minimi indispensabili? Scopri PCI Proxy EU.