Home > Servizi > Certificazione PCI

Standard

Ogni giorno vengono scoperte nuove vulnerabilità dai ricercatori specializzati che possono essere sfruttate per operazioni illecite sui sistemi da parte di attaccanti. I componenti di sistema, i processi e il software personalizzato devono essere sottoposti frequentemente a test per garantire un allineamento dei controlli di sicurezza a un ambiente in continua evoluzione.

Per questo motivo le Aziende che trattano i dati di carta di credito devono testare periodicamente i propri sistemi secondo le specifiche PCI DSS: tali verifiche devono essere affidate a specifici Approved Scanning Vendor (ASV), uniche società i cui risultati sono gli garantiti, riconosciuti e accettati da PCI SSC. In questo ambito si inserisce eMaze, una delle poche società italiane che ha ottenuto la qualifica di ASV.

Le verifiche periodiche consistono in una scansione delle vulnerabilità eseguita su server e dispositivi di rete, interni ed esterni, per rilevare la presenza di vulnerabilità conosciute che potrebbero essere sfruttate da utenti non autorizzati. L’ASV esegue tali verifiche secondo metodologie e modalità operative definite dallo standard PCI DSS, certificando periodicamente che sulla rete di un Cliente non siano presenti vulnerabilità critiche. La criticità delle vulnerabilità è definita in dettaglio secondo i dettami dello standard internazionale CVSS; se una vulnerabilità ha un punteggio CVSS maggiore o uguale a 4,0 la vulnerabilità è pericolosa ed il sistema non può essere certificato. Nel caso venisse rilevata una vulnerabilità pericolosa, il Cliente, dopo aver rimediato al problema, deve richiedere all’ASV una nuova scansione per verificare l’avvenuta correzione dello stesso. Secondo quanto previsto dalla modalità operativa degli ASV, viene garantita al Cliente la possibilità di contestare all’ASV i risultati delle scansioni. L’ASV emette il certificato di conformità allo standard PCI DSS quando i sistemi visibili su Internet della Società che si vuole certificare non presentano vulnerabilità critiche, al netto di eventuali falsi positivi o eccezioni puntalmente verificate e validate dall’ASV stesso.