La PCI DSS network segmentation è tecnicamente facoltativa, ma nella pratica è l'unico modo realistico per contenere il cardholder data environment senza investire milioni in compliance. Senza segmentazione, qualsiasi sistema connesso alla rete interna diventa parte del CDE PCI DSS e deve rispettare tutti i controlli previsti dallo standard. Il problema reale non è decidere se farla, ma capire quanto costa, chi la gestisce e quando ha senso cercare alternative.
Network segmentation PCI DSS: cosa prevede il requisito
Il PCI DSS non impone un metodo specifico di segmentazione, ma richiede che i sistemi fuori scope siano isolati in modo da non poter influenzare la sicurezza del CDE. In pratica questo significa firewall con regole documentate, VLAN dedicate, access control list tra segmenti e verifica annuale dell'isolamento. Il Requisito 11.4.5 dello standard v4.0 richiede test di penetration specifici per validare che la segmentazione funzioni davvero, non solo sulla carta.
Un'architettura tipica prevede almeno tre zone: la rete pubblica, la DMZ con i sistemi che ricevono dati carta, e il segmento interno dove risiedono i sistemi di autorizzazione e i database. Ogni zona richiede regole di ingresso e uscita esplicite, log centralizzati e procedure di change management. In ambienti cloud, la segmentazione si traduce in VPC dedicati, security group granulari e controllo del traffico est-ovest con strumenti come AWS Network Firewall o Azure Firewall.
I costi reali di una segmentazione corretta
L'errore più comune è sottostimare i costi operativi rispetto a quelli di setup. L'hardware o il licensing cloud per firewall e IDS di livello enterprise si aggira tra 15.000 e 60.000 euro per un'architettura di medie dimensioni. A questo si aggiungono le ore di un network engineer per la progettazione, la documentazione delle regole e la gestione dei change: mediamente 20-40 ore/anno solo per la manutenzione ordinaria. Il penetration test annuale sulla segmentazione ha un costo medio tra 3.000 e 8.000 euro.
Per le aziende che operano su Kubernetes o ambienti container, i costi aumentano ulteriormente. La micro-segmentazione del traffico est-ovest in un cluster richiede strumenti come Calico, Cilium o una service mesh dedicata. La complessità operativa sale esponenzialmente con il numero di microservizi che toccano dati sensibili. Un team senza specializzazione in networking sicuro rischia di creare configurazioni che sembrano conformi ma non lo sono, con conseguenze pesanti in caso di audit o breach.
Tokenizzazione vs segmentazione: quando conviene cosa
La segmentazione protegge il perimetro intorno ai dati sensibili. La tokenizzazione elimina i dati sensibili dal perimetro. Sono approcci complementari, ma il punto di partenza cambia radicalmente l'entità degli investimenti richiesti. Se il PAN non entra mai nella tua infrastruttura, il CDE si riduce drasticamente e con esso i requisiti di segmentazione. Sistemi che prima necessitavano di VLAN dedicate e firewall dedicati escono completamente dallo scope.
La pci dss scope reduction strategy più efficiente combina i due approcci: tokenizzazione per eliminare i dati alla fonte, segmentazione residua per proteggere i componenti che gestiscono le chiamate API verso il vault. In questo modo la superficie da proteggere con firewall e ACL si riduce a pochi endpoint ben definiti invece che a un'intera rete aziendale. Il risultato è un CDE minimo, audit più rapidi e costi di manutenzione strutturalmente inferiori.
Domande frequenti
La segmentazione cloud è diversa da quella on-premise per PCI?
Concettualmente no, ma gli strumenti cambiano. In cloud si usano VPC, subnet private, security group e Network ACL al posto di VLAN fisiche e firewall hardware. Il PCI DSS accetta entrambi gli approcci purché l'isolamento sia documentato e testato. La responsabilità condivisa con il cloud provider non copre mai la segmentazione applicativa: quella rimane a carico del merchant.
Posso usare la segmentazione come misura compensativa?
La segmentazione è già di per sé un controllo di sicurezza, non una misura compensativa in senso stretto. Le misure compensative PCI DSS si applicano quando non è possibile rispettare un requisito specifico per vincoli tecnici o di business documentati. Una segmentazione robusta può però ridurre il rischio residuo in assenza di altri controlli e influenzare positivamente la valutazione del QSA.
Quanto tempo richiede implementare la network segmentation?
Per un'architettura on-premise di medie dimensioni, il progetto tipico dura tra 3 e 6 mesi, inclusi design, implementazione, test e documentazione. In cloud i tempi si accorciano ma richiedono competenze specifiche. Il fattore critico non è la configurazione iniziale ma la governance nel tempo: change management, review periodiche e test annuali di validazione.
Vuoi ridurre il perimetro PCI prima ancora di progettare la segmentazione? Scopri PCI Proxy EU.