Importante aggiornamento sui criteri di idoneità per PCI DSS SAQ A

Il PCI Security Standards Council (PCI SSC) ha pubblicato una nuova Domanda Frequente (FAQ 1588) per aiutare le aziende a comprendere meglio i criteri di idoneità aggiornati per il Self-Assessment Questionnaire (SAQ) A secondo PCI DSS v4.0.1. Questi nuovi requisiti entreranno in vigore il 1° aprile 2025 e sono particolarmente rilevanti per i commercianti e-commerce che utilizzano pagine di pagamento incorporate (come gli iframe).

Cosa cambia?

Per essere idonei al SAQ A, i commercianti devono confermare che il loro sito web non sia vulnerabile ad attacchi basati su script che potrebbero compromettere i dati di pagamento dei clienti.

Come possono i commercianti confermare la sicurezza del loro sito web?

I commercianti possono verificare la protezione del loro sito contro gli attacchi tramite script in due modi:

Implementando misure di sicurezza:

• Utilizzare i metodi di protezione raccomandati nei requisiti PCI DSS 6.4.3 e 11.6.1 per bloccare script malevoli che potrebbero rubare dati di pagamento.
• Queste protezioni possono essere implementate direttamente dal commerciante o da un fornitore di servizi di terze parti (TPSP).

Ottenendo una conferma dal proprio fornitore di pagamenti:

• Se il commerciante utilizza un fornitore di servizi di pagamento (TPSP) o un processore di pagamento conforme a PCI DSS, può ottenere conferma che la pagina di pagamento incorporata già include protezioni contro gli attacchi tramite script.
• I commercianti devono assicurarsi di seguire correttamente le linee guida di sicurezza fornite dal loro fornitore.

A chi si applica questa modifica?

Questa modifica riguarda esclusivamente i commercianti e-commerce che utilizzano una pagina di pagamento incorporata da un fornitore di servizi di pagamento di terze parti (come un iframe) sul proprio sito web.

Chi NON è idoneo per il SAQ A secondo questi criteri?

• Commercianti che reindirizzano i clienti al sito web di un fornitore di pagamento (es. tramite link di reindirizzamento, HTTP 30x, meta tag o reindirizzamento JavaScript).
• Commercianti che esternalizzano completamente l’elaborazione dei pagamenti (es. inviando ai clienti un link di pagamento via email).

Cosa devono fare i commercianti ora?

 Verificare con il proprio fornitore di pagamenti (TPSP) o con l’acquirer se SAQ A è il questionario di autovalutazione corretto per la propria attività.
 Collaborare con il proprio fornitore per garantire di avere le giuste misure di sicurezza in atto.
Visitare il sito web del PCI SSC per consultare la FAQ completa e le risorse aggiuntive.

Questo aggiornamento ha l’obiettivo di rendere la conformità più chiara e garantire una sicurezza più solida per i pagamenti nei negozi e-commerce. Seguendo queste linee guida, i commercianti possono convalidare la propria conformità in modo sicuro e proteggere i dati di pagamento dei propri clienti.

https://www.pcisecuritystandards.org/faq/articles/Frequently_Asked_Question/how-does-an-e-commerce-merchant-meet-the-saq-a-eligibility-criteria-for-scripts/