La pci dss network segmentation è la pratica di isolare i sistemi che trattano dati carta dal resto dell'infrastruttura aziendale attraverso controlli di rete fisici o logici. Non è tecnicamente obbligatoria dal PCI DSS, ma in sua assenza l'intera rete aziendale rientra nel perimetro CDE: una condizione che rende la compliance praticamente insostenibile per qualsiasi organizzazione di dimensioni medie. Capire come implementarla, quanto costa e quando la tokenizzazione è un'alternativa più efficiente è fondamentale per una strategia di compliance razionale.
Cos'è la network segmentation e perché il PCI DSS la richiede
Senza segmentazione, qualsiasi sistema connesso alla rete aziendale che ha anche solo connettività indiretta con i sistemi di pagamento rientra nel CDE. Questo significa che workstation degli uffici amministrativi, sistemi di videoconferenza, stampanti di rete e server di backup possono tutti essere soggetti ai requisiti PCI DSS se condividono la stessa rete dei sistemi di pagamento. Il perimetro esplode e i costi di compliance con esso.
La network segmentation risolve questo problema creando una separazione netta tra il CDE e il resto della rete. Attraverso firewall, VLAN, controlli di accesso di rete e zone DMZ, i sistemi di pagamento vengono isolati in un segmento dedicato con accessi strettamente controllati. Solo i sistemi che hanno una necessità tecnica documentata di comunicare con il CDE possono farlo, e ogni accesso viene registrato e monitorato.
Costi e complessità di una segmentazione corretta
Implementare la network segmentation in modo corretto non è banale. Richiede firewall dedicati tra i segmenti, regole di filtraggio granulari, documentazione completa della topologia di rete, test periodici dell'efficacia della segmentazione (incluso il penetration test che verifica che non ci siano percorsi non autorizzati tra i segmenti) e manutenzione continua ogni volta che si aggiungono sistemi o si modificano i flussi.
I costi di una segmentazione corretta includono: hardware di rete dedicato (da 5.000 a 30.000 euro per infrastrutture on-premise), costi di consulenza per il design e l'implementazione, costi di manutenzione e monitoraggio continuo, e costi di testing per verificare che la segmentazione sia efficace nel tempo. In ambienti cloud, la segmentazione è più flessibile ma richiede comunque una progettazione attenta delle VPC, dei security group e delle regole di routing.
Tokenizzazione come alternativa alla segmentazione hardware
La logica della segmentazione è: isola il CDE dal resto della rete per limitare la superficie di rischio. La tokenizzazione raggiunge lo stesso obiettivo in modo più radicale: invece di isolare il CDE, lo elimina quasi completamente lato merchant. Se i tuoi sistemi non trattano mai PAN, non hai un CDE da isolare. La segmentazione diventa irrilevante perché non c'è nulla da proteggere nei tuoi server.
Per le organizzazioni che hanno già investito in segmentazione di rete, la tokenizzazione si aggiunge come secondo livello di protezione: riduce ulteriormente il CDE e semplifica la topologia. Per chi non ha ancora implementato la segmentazione, adottare prima la tokenizzazione può evitare del tutto l'investimento in infrastruttura di rete dedicata. L'ordine delle priorità dipende dall'architettura esistente e dalla timeline di compliance.
Domande frequenti
La segmentazione con VLAN è sufficiente per PCI DSS?
Le VLAN da sole non sono considerate sufficienti dal PCI DSS se non accompagnate da firewall che filtrano il traffico tra i segmenti. Una VLAN senza firewall è una separazione logica che può essere aggirata con configurazioni errate o attacchi di VLAN hopping. Il PCI DSS richiede che la segmentazione sia verificabile e testata nel pen test annuale.
Devo segmentare anche l'ambiente di test?
Sì, se l'ambiente di test usa dati carta reali. Il PCI DSS richiede esplicitamente che i dati di test non siano dati carta reali, e che gli ambienti di sviluppo e test siano separati dall'ambiente di produzione. Se segui questa regola, l'ambiente di test non entra nel CDE e non ha bisogno di segmentazione specifica.
Quanti firewall servono per isolare il CDE?
Non c'è un numero fisso: dipende dalla topologia di rete e dal numero di punti di accesso al CDE. In un'architettura tipica, servono almeno un firewall perimetrale che separa il CDE da internet e uno che separa il CDE dalla rete interna. In ambienti complessi con più zone DMZ e più flussi di accesso, il numero può essere maggiore. La regola è che ogni accesso al CDE deve passare attraverso un firewall con regole esplicite.
Vuoi ridurre lo scope PCI senza investire in infrastruttura di segmentazione? Scopri PCI Proxy EU.