Il Payment Card Industry Security Standards Council (PCI SSC) ha annunciato aggiornamenti significativi al Self-Assessment Questionnaire A (SAQ A), che riguardano in particolare i commercianti di e-commerce. Questi cambiamenti, in vigore dal 31 marzo 2025, eliminano alcuni requisiti e introducono nuovi criteri di idoneità che impongono ai commercianti di rafforzare la sicurezza dei loro siti web e proteggersi dagli attacchi di script dannosi.

Con la scadenza della conformità che si avvicina rapidamente, è fondamentale per i commercianti comprendere cosa sta cambiando, quali sono i rischi e come garantire la conformità.

TrendsPredictions 2025_webheader_landing

Cos’è SAQ A?

SAQ A è destinato ai commercianti che esternalizzano completamente le loro funzioni di elaborazione dei pagamenti a fornitori di servizi di terze parti (TPSP) convalidati secondo PCI DSS.

Chi può qualificarsi per SAQ A?

  • Commercianti di e-commerce o ordini postali/telefonici (transazioni con carta non presente).
  • Commercianti che non memorizzano, elaborano o trasmettono dati dei conti elettronicamente sui propri sistemi.
  • Commercianti che si affidano interamente ai TPSP per gestire le transazioni di pagamento in modo sicuro.

I principali cambiamenti di SAQ A nel 2025

1. Rimozione di requisiti di sicurezza specifici

Questa modifica riguarda solo i requisiti relativi all’e-commerce all'interno di SAQ A e non quelli per ordini postali o telefonici.

I seguenti requisiti PCI DSS sono stati rimossi da SAQ A:

  • 6.4.3 – Protezione delle pagine di pagamento da modifiche non autorizzate.
  • 11.6.1 – Monitoraggio continuo per rilevare modifiche non autorizzate alle pagine di pagamento.
  • 12.3.1 – Analisi dei rischi mirata relativa a 11.6.1.

Cosa significa per i commercianti:
Sebbene questi requisiti non siano più esplicitamente richiesti in SAQ A, la sicurezza rimane una priorità assoluta. I commercianti devono comunque garantire che i loro siti web siano protetti dalle minacce che questi requisiti affrontavano.

Citazione: "Sebbene queste modifiche a SAQ A influenzino il modo in cui i commercianti gestiscono la conformità, non eliminano né riducono i requisiti di base all'interno di PCI DSS." – PCI DSS

2. Nuovi criteri di idoneità per SAQ A

Per qualificarsi per SAQ A, i commercianti di e-commerce devono ora soddisfare due condizioni aggiuntive:

  1. Tutti gli elementi della pagina di pagamento (moduli, script, iframe, ecc.) devono provenire esclusivamente e direttamente da un TPSP conforme a PCI DSS.
  2. I commercianti devono confermare che il loro sito non è vulnerabile ad attacchi basati su script che potrebbero compromettere i loro sistemi di e-commerce.

Citazione: "Il commerciante ha confermato che il proprio sito non è vulnerabile ad attacchi tramite script che potrebbero influenzare il sistema di e-commerce del commerciante." – PCI SSC

PCI SSC fornisce strumenti per la convalida della conformità, ma i requisiti finali sono stabiliti dagli acquirer, dai circuiti di pagamento e dagli enti preposti alla conformità.

Citazione: "PCI SSC fornisce strumenti che possono essere utilizzati per facilitare la convalida della conformità. I requisiti di convalida della conformità sono stabiliti da circuiti, acquirer, facilitatori di pagamento, ecc." – PCI SSC

 

 

Punti chiave

Anche se i requisiti 6.4.3, 11.6.1 e 12.3.1 non devono più essere implementati direttamente dal commerciante, essi restano parte del framework PCI DSS e devono essere soddisfatti dal TPSP. In pratica, il commerciante non è più direttamente responsabile di questi controlli, ma deve garantire che il suo TPSP sia conforme.

I nuovi criteri di idoneità si concentrano sulla sicurezza dell'intero sito web, non solo sulla pagina di checkout. Dichiarare che un sito non utilizza script non è più sufficiente.

Perché questi cambiamenti sono importanti

Anche se PCI SSC ha rimosso alcuni requisiti di sicurezza, la responsabilità della sicurezza del sito web rimane interamente del commerciante.

I commercianti che si affidano a SAQ A devono ora:

  • Garantire che l'intero sito sia protetto dagli attacchi basati su script.
  • Monitorare continuamente le iniezioni di script dannosi.
  • Fornire prove che le loro misure di sicurezza soddisfano i criteri di idoneità di SAQ A.

Cosa succede se un commerciante non è idoneo per SAQ A?
Chi non soddisfa i nuovi criteri di idoneità dovrà passare a SAQ A-EP, che include 151 controlli di sicurezza rispetto ai 27 di SAQ A, aumentando significativamente la complessità e i costi della conformità.

Tempistiche di conformità SAQ A

  • Ottobre 2024 – La versione attuale di SAQ A resta valida fino al 31 marzo 2025.
  • Gennaio 2025 – Viene pubblicata la nuova versione di SAQ A.
  • 31 marzo 2025 – SAQ A v4.0.1 r1 sostituisce ufficialmente la versione precedente.

I commercianti devono pianificare in anticipo per evitare lacune nella conformità.

Come proteggere il tuo sito web e rimanere conforme a SAQ A

Per soddisfare i nuovi requisiti di sicurezza di SAQ A, i commercianti dovrebbero adottare misure proattive per proteggere i loro siti web.

  1. Monitorare e proteggere il carrello degli acquisti
    Implementare soluzioni e controlli adeguati per rilevare e prevenire iniezioni di script dannosi negli elementi TPSP.

  2. Proteggere l’integrità delle pagine web
    Adottare soluzioni per proteggere l'intero sito web, non solo le pagine di checkout, dagli attacchi basati su script.

  3. Utilizzare solo script di terze parti conformi a PCI DSS
    Assicurarsi che tutti gli script esterni utilizzati provengano da TPSP conformi a PCI DSS.

  4. Condurre una valutazione dei rischi di sicurezza
    Scansionare e auditare regolarmente il sito web per identificare vulnerabilità che potrebbero permettere l'inserimento di script non autorizzati.

Perché è importante: Gli script dannosi possono essere iniettati dinamicamente in qualsiasi momento. I controlli di sicurezza una tantum non sono sufficienti: il monitoraggio continuo è essenziale.

  1. Consultare esperti di conformità PCI
    Collaborare con esperti qualificati per garantire che l'azienda soddisfi i nuovi criteri di idoneità di SAQ A.

Considerazioni finali: Agisci ora per rimanere conforme

Questi cambiamenti a SAQ A mirano a semplificare la conformità e rafforzare la sicurezza per i commercianti online. Tuttavia, il rispetto dei nuovi criteri richiede un monitoraggio proattivo del sito web e miglioramenti nella sicurezza.

Se non sei sicuro che la tua azienda soddisfi i nuovi requisiti di SAQ A, o hai bisogno di supporto per proteggere la tua piattaforma e-commerce, siamo qui per aiutarti.

Hai bisogno di aiuto per rimanere conforme a SAQ A?

Garantire che il tuo sito soddisfi i requisiti PCI DSS v4.0.1 può essere complesso, ma non devi farlo da solo.

Noi di Integrity360 siamo specializzati nell’aiutare i commercianti ad adattarsi a questi cambiamenti, proteggere i loro siti web e mantenere la conformità con sicurezza.

Contattaci oggi stesso per proteggere la tua attività e rimanere conforme nel 2025 e oltre!

Contact Us