Le regole PCI per le password sono state create per rispondere all’esigenza del settore delle carte di credito di potenziare le misure di protezione della privacy e della sicurezza dei consumatori. In vigore ormai da oltre due decenni, queste regole si concentrano su come generare, utilizzare e conservare in modo sicuro le password.
Continua a leggere per scoprire tutto sulle regole PCI DSS per le password, i requisiti specifici, i vantaggi dell’autenticazione multi-fattore e come Dashlane può aiutarti a garantire la sicurezza delle password della tua azienda!
Altri articoli che potrebbero interessarti:
- Vantaggi e svantaggi del Google Password Manager
- Condivisione Password: Come farlo in sicurezza con Dashlane
- Come fanno gli hacker a ottenere le password?
Cosa è lo Standard di Sicurezza PCI DSS?
Lo standard di sicurezza per il settore delle carte di pagamento o PCI DSS (Payment Card Industry Data Security Standard) è un insieme di requisiti di sicurezza creati per garantire che tutte le aziende che accettano, elaborano, conservano o trasmettono informazioni di carte di credito operino in un ambiente sicuro. Questo standard include tutto ciò che le aziende devono fare per difendersi dalle violazioni dei dati e evitare sanzioni. Tra i vari aspetti trattati, ovviamente è inclusa anche la prevenzione degli accessi non autorizzati agli account aziendali, seguendo le migliori pratiche per le password.
Obiettivo dello Standard PCI
Secondo la mission PCI, l’obiettivo di tutte le iniziative strategiche del PCI è quello di migliorare la sicurezza dei dati dei conti di pagamento a livello globale attraverso lo sviluppo di standard e servizi di supporto per migliorare la formazione, consapevolezza e efficacia delle iniziative di sicurezza informatica. Considerano i 389.000 casi di frodi di carte di credito segnalati alla Federal Trade Commission (FTC) solo nel 2021, l’esigenza di queste iniziative appare purtroppo abbastanza evidente.
Storia dello Standard PCI
I requisiti del PCI DSS sono stati sviluppati a seguito dell’emergere degli eCommerce e dei metodi di pagamento digitali nei primi anni 2000. Con l’aumento dei crimini informatici legati ai pagamenti online, le principali aziende di carte di credito si sono unite a questi sforzi per combattere l’hacking, il furto di identità e altre attività malevole online. Nel 2001, l’impegno di questi enti è culminato nel rilascio del primo standard PCI DSS. Da allora, lo standard è stato arricchito con aggiornamenti periodici.
PCI DSS 4.0
L’ultima versione dello standard di sicurezza PCI DSS è il PCI DSS 4.0, rilasciato a marzo 2022. Questa nuova versione affronta le minacce alla sicurezza emergenti, promuove la sicurezza come processo continuo e chiarisce le linee guida sui requisiti PCI già in essere. I requisiti della versione 4.0 rimarranno opzionali fino a marzo 2025.
Quali sono le regole per le password PCI DSS?
Le regole PCI DSS per le password per le aziende che gestiscono pagamenti con carte di credito riflettono il consenso del settore e le migliori pratiche per gli aspetti importanti della sanità delle password e includono le seguenti specifiche:
Reimpostazione periodica delle password
La politica di conformità PCI delle password prevede che queste vengano reimpostate ogni 90 giorni. Tuttavia, le raccomandazioni più recenti del NIST evidenziano lo svantaggio potenziale di queste modifiche continue. Forzare un ripristino delle credenziali infatti può portare a piccole modifiche, più facili da indovinare da parte degli hacker, o a password che vengono riutilizzate per comodità. Attività di mitigazione del rischio come l’implementazione di un password manager per generare password forti e complesse riducono significativamente la necessità degli aggiornamenti obbligatori.
Limitare i tentativi di accesso
Prima o poi, abbiamo provato tutti a indovinare una password dimenticata o smarrita, sperando di ricordarcela correttamente prima di esaurire il numero di tentativi a disposizione. Secondo le regole PCI per le password, agli utenti dovrebbe essere permesso un numero ragionevole (3-6) di tentativi di accesso. Dopo aver superato questa quota, la persona che tenta di accedere dovrebbe essere bloccata per un periodo specificato o dovrebbe essere obbligatorio contattare il reparto IT o l’amministratore di sistema per sbloccare l’account. Questo limite di accesso per la conformità PCI è un forte deterrente per gli attacchi di brute force che provano migliaia di combinazioni di credenziali nel tentativo di ottenere l’accesso non autorizzato a un account.
Implementare sessioni con Timeout
Il PCI DSS richiede dei timeout automatici del sistema per contrastare i rischi derivanti da una forza lavoro sempre più mobile. Tutte le organizzazioni devono implementare questi timeout automatici, sebbene ogni azienda possa impostare i propri limiti di tempo basati su una valutazione dei rischi. Dopo aver superato il limite di inattività, gli utenti devono reinserire le loro credenziali per rientrare nella rete. Questa regolamentazione aiuta a mitigare il rischio di dispositivi incustoditi in luoghi pubblici come bar, aeroporti e hotel.
Password lunghe, complesse e uniche
L’uso di password lunghe e complesse per tutti gli account è uno dei modi migliori per contrastare i tentativi di hacking come gli attacchi di forza bruta. Le regole PCI per le password specificano che sono necessari 7 o più caratteri, ma che utilizzare almeno 12 caratteri migliorerà significativamente la resistenza delle tue password agli attacchi di hacking.
Una password complessa include lettere maiuscole, lettere minuscole, numeri e caratteri speciali in ordine casuale. Evita anche l’uso di frasi comuni o sequenze prevedibili come ABCD e 12345. Inoltre, una password forte e complessa esclude numeri o frasi che possono essere collegati alla tua identità, come il tuo nome, la data di nascita e il numero di telefono.
Infine, una password unica è una password che non viene riutilizzata per altri account. Molti utenti riutilizzano le proprie password perché così è più facile ricordarsi diverse credenziali. Tuttavia, questa prassi riduce anche la sicurezza delle password, poiché una volta compromessa una password, potranno essere rubati più account.
Crittografia dei dati sensibili
Le regole di crittografia del PCI DSS rendono obbligatoria la crittografia delle password e di altri dati sensibili durante la trasmissione e la conservazione, sebbene al momento non specifichino un metodo di crittografia in particolare. Criptare le password le rende illeggibili e inutilizzabili per gli hacker, riducendo l’impatto di una violazione dei dati. Il password manager Dashlane per esempio utilizza la crittografia AES a 256 bit, ampiamente accettata come il tipo di crittografia più forte a disposizione, per proteggere le tue password e altre informazioni personali.
Vantaggi dell’Autenticazione Multi-fattore (MFA)
Le migliori pratiche per la sanità delle password specificate dalle regole PCI DSS contribuiscono a migliorare la sicurezza informatica e a proteggere le informazioni degli account con carte di credito. Evidenziando l’importanza dell’autenticazione multi-fattore (MFA), il PCI ha compiuto un importante passo verso transazioni online più sicure. Ecco alcuni vantaggi della MFA:
Offre un ulteriore strato di sicurezza
L’autenticazione a due fattori (2FA) utilizza una seconda credenziale, come un codice inviato tramite un’app o un messaggio di testo, per confermare l’identità dell’utente. Il presupposto dietro al 2FA è molto semplice, riconosce infatti che è improbabile che un hacker che ottenga illegalmente le credenziali di un utente abbia a disposizione anche il suo dispositivo per ricevere un codice di autenticazione. L’autenticazione multi-fattore utilizza due o più fattori identificativi, spesso incorporando identificatori biometrici avanzati come le impronte digitali o il riconoscimento facciale per un ulteriore strato di sicurezza.
Validare l’identità
Il concetto di un sistema universale di identità digitale per confermare positivamente la nostra identità online e in presenza sta guadagnando slancio man mano che migliorano i metodi di verifica. Combinando qualcosa che sai (password), qualcosa che possiedi (dispositivo) e qualcosa che sei (fattori biometrici come l’impronta digitale), si ottiene un processo di identificazione altamente affidabile e praticamente infallibile basato su MFA. Il PCI DSS sfrutta l’assicurazione dell’identità dell’MFA per proteggere l’accesso ai dati del titolare della carta.
Sicurezza nel lavoro da remoto
Man man che il lavoro mobile da remoto diventa sempre più comune, è essenziale verificare l’identità dei dipendenti che accedono da posizioni al di fuori del perimetro di sicurezza della rete aziendale. L’autenticazione multi-fattore fornisce questa conferma. L’MFA fornisce questo ulteriore livello di autenticazione del lavoratore da remoto, prevenendo l’accesso non autorizzato nel caso in cui i dispositivi dei dipendenti vengano persi o rubati, o se un lavoratore da remoto dovesse utilizzare una rete WiFi pubblica senza la protezione di una VPN a difenderlo da hacking e intercettazioni dei dati.
Incorporazione dei fattori biometrici
I metodi di autenticazione biometrica, come le impronte digitali e il riconoscimento facciale, utilizzati su molti dispositivi mobili sono solo la punta dell’iceberg, considerando che l’autenticazione senza password sta diventando la norma. Anche se i fattori biometrici sono spesso utilizzati come uno dei due o più identificatori MFA, hanno il potenziale di liberare definitivamente gli utenti e i team IT dai processi di creazione, archiviazione e protezione delle password.
Conformità con le normative PCI-DSS
La semplice conformità con le normative PCI-DSS è motivo sufficiente per le organizzazioni che gestiscono informazioni sulle carte di credito per implementare l’MFA, ma la maggior parte di queste aziende riconosce già i vantaggi della normativa, sia per sé stesse, che per i propri clienti. La sicurezza fornita dalla MFA ha giustificato la decisione del PCI DSS di richiederla per l’accesso ai dati della carta di credito, poiché può compensare le vulnerabilità delle password, della loro conservazione e del controllo degli accessi.
Perché Dashlane può aiutarti a proteggere le password
Il password manager Dashlane è la soluzione di sicurezza informatica ideale per aiutarti a rispettare le regole PCI DSS per le password, migliorando al contempo l’integrità delle password e aumentando la consapevolezza e la protezione dei dipendenti. Le funzionalità di Dashlane che complementano le regole PCI DSS sono:
- Generazione Avanzata delle Password: La generazione avanzata delle password garantisce che le nuove password o quelle già esistenti siano sempre lunghe e complesse.
- Autenticazione a Due Fattori: L’autenticazione a due fattori fornisce un ulteriore livello di sicurezza per gli account su cui è attiva.
- Monitoraggio del Dark Web: Il monitoraggio del Dark Web esamina le parti nascoste di internet alla ricerca delle credenziali dei dipendenti e dei dati privati e li avvisa se le loro informazioni dovessero essere rilevate.
- Architettura a Conoscenza Zero: L’architettura zero-knowledge garantisce che nessuno, incluso Dashlane, possa mai accedere ai dati dei dipendenti non crittografati.
- Punteggio di sanità della Password: Il punteggio di sanità della password tiene traccia delle password deboli, compromesse e riutilizzate di ciascun dipendente.
Norme PCI per le password delle aziende: Domande Frequenti
Qual è lo scopo delle regole PCI DSS per le password?
Lo scopo delle regole PCI DSS per le password è quello di proteggere i dati dei titolari di carte di pagamento, garantendo che tutte le aziende che accettano, elaborano, conservano o trasmettono informazioni relative alle carte di credito operino in un ambiente sicuro. Queste regole si concentrano sulla generazione, l’uso e la conservazione sicura delle password per prevenire accessi non autorizzati e violazioni dei dati.
Quali sono i requisiti per le password secondo le regole PCI DSS?
Le regole PCI DSS per le password richiedono che le password siano reimpostate regolarmente, che i tentativi di accesso siano limitati, che siano implementate sessioni di timeout, che le password siano lunghe e complesse, uniche e che i dati sensibili siano crittografati. L’obiettivo di queste regole è di promuovere una buona igiene delle password per prevenire gli attacchi informatici.
Cosa è l’autenticazione multi-fattore (MFA) e come contribuisce alla sicurezza?
L’autenticazione multi-fattore (MFA) è un metodo di conferma dell’identità dell’utente che utilizza due o più fattori di identificazione, spesso incorporando identificatori biometrici avanzati come le impronte digitali o il riconoscimento facciale. L’MFA aggiunge un ulteriore livello di sicurezza, validando l’identità, proteggendo i lavoratori remoti e contribuendo a un’identificazione sicura basata sulla combinazione di ciò che si sa (password), ciò che si possiede (dispositivo) e ciò che si è (fattori biometrici).
Dashlane è un password manager che aiuta le aziende a rispettare le regole PCI DSS per le password. Offre una serie di funzionalità tra cui la generazione avanzata di password, l’autenticazione a due fattori, il monitoraggio del Dark Web, un’architettura a conoscenza zero che garantisce che nessuno possa mai accedere ai dati dei dipendenti non crittografati, e un punteggio di sanità delle password che monitora le password deboli, compromesse e riutilizzate.
Perché è importante rispettare le regole PCI DSS per le password?
Rispettare le regole PCI DSS per le password è fondamentale per la sicurezza delle informazioni relative alle carte di credito. Il rispetto di queste regole aiuta a prevenire l’accesso non autorizzato, le violazioni dei dati e i tentativi di hacking, proteggendo sia le aziende che i loro clienti. Inoltre, il rispetto di queste regole è obbligatorio per tutte le aziende che gestiscono informazioni sulle carte di credito.
Cosa ne pensi di questa guida alle regole PCI per le password delle aziende? C’è altro che aggiungeresti? Commenta qui sotto e condividi questo articolo con i tuoi amici! Non dimenticarti di iscriverti alla newsletter di Stolas Informatica e di seguirci su Facebook, Instagram e Telegram per rimanere sempre aggiornato!
Caricamento...