Torna alle guide SECURITY

Gateway di Pagamento Conforme PCI DSS: Cosa Significa per il Tuo Business

Il PCI DSS (Payment Card Industry Data Security Standard) è il framework di sicurezza globale che governa come i dati delle carte devono essere gestiti da qualsiasi entità che elabora, archivia o trasmette informazioni sulle carte di pagamento. Per i merchant che scelgono un gateway di pagamento, il livello di certificazione PCI DSS è uno dei criteri di selezione tecnici e commerciali più importanti. Utilizzare un gateway certificato PCI DSS Level 1 riduce significativamente l'onere di conformità del merchant, protegge i titolari di carta e riduce il rischio di violazioni dei dati che comportano sanzioni dei circuiti e costi di ri-emissione delle carte. Questa guida spiega cosa significa la conformità PCI DSS per un gateway, i livelli di certificazione, cosa fa un gateway Level 1 per il tuo programma di conformità e cosa i merchant devono ancora fare in modo indipendente.

Gateway di Pagamento Conforme PCI DSS | RoxPay

Cosa Significa la Conformità PCI DSS per un Gateway di Pagamento

Il PCI DSS è un insieme di requisiti di sicurezza sviluppati dai principali circuiti di pagamento (Visa, Mastercard, Amex, Discover, JCB) attraverso il PCI Security Standards Council. Lo standard si applica a qualsiasi entità che elabora, archivia o trasmette dati dei titolari di carta, definiti principalmente come il Numero di Conto Primario (PAN), combinato con eventuali elementi di dati aggiuntivi (nome, scadenza, codice di servizio).

Per un gateway di pagamento, la conformità PCI DSS significa che l'intera infrastruttura del gateway, inclusi server, reti, applicazioni e procedure operative, soddisfa i requisiti di sicurezza definiti nello standard PCI DSS corrente (attualmente versione 4.0). Questi requisiti coprono dodici ampie aree: sicurezza di rete, gestione della configurazione, protezione dei dati dei titolari di carta, gestione delle vulnerabilità, controllo degli accessi, sicurezza fisica, monitoraggio e test e politica di sicurezza.

Perché è importante per i merchant: Un gateway non conforme al PCI DSS crea un'esposizione alla responsabilità per ogni merchant che lo utilizza. Se i dati dei titolari di carta elaborati attraverso il gateway vengono compromessi, i circuiti possono comminare sanzioni, richiedere la ri-emissione delle carte a spese del merchant e, nei casi gravi, revocare le licenze di elaborazione dell'acquirente. L'utilizzo di un gateway certificato PCI DSS Level 1 trasferisce la responsabilità della sicurezza per l'infrastruttura di elaborazione al gateway, riducendo l'esposizione diretta del merchant.

Certificazione continuativa: La conformità PCI DSS non è una certificazione una tantum. I gateway Level 1 sono sottoposti a valutazioni annuali di sicurezza in loco da parte di un Qualified Security Assessor (QSA) e scansioni trimestrali delle vulnerabilità di rete da parte di un Approved Scanning Vendor (ASV). Questa valutazione continua garantisce che la postura di sicurezza del gateway venga mantenuta man mano che le minacce evolvono.

Per i merchant che utilizzano un gateway di pagamento high risk specializzato, la certificazione PCI DSS Level 1 a livello gateway è particolarmente importante perché le categorie merchant ad alto rischio attirano maggiore attenzione sia da parte dei truffatori che degli enti normativi.

Livelli PCI DSS: Level 1 vs Level 2 vs Level 3 vs Level 4

La certificazione PCI DSS è graduata per volume di transazioni, con diversi requisiti di validazione della conformità per ogni livello. Questi livelli si applicano separatamente ai merchant e ai service provider, ma per i gateway di pagamento (che sono service provider), i livelli pertinenti sono definiti diversamente.

Livelli per i service provider:
I service provider Level 1 elaborano, archiviano o trasmettono più di 300.000 transazioni con carta all'anno. Devono sottoporsi a un Report on Compliance (RoC) annuale preparato da un Qualified Security Assessor, oltre a scansioni di rete trimestrali. Questo è il livello di valutazione più rigoroso ed è quello a cui RoxPay è certificato.

I service provider Level 2 elaborano meno di 300.000 transazioni con carta all'anno. Possono completare autonomamente un Self-Assessment Questionnaire (SAQ) annuale oltre a scansioni trimestrali, invece di un audit QSA completo.

Livelli merchant (per contesto):
Merchant Level 1: Oltre sei milioni di transazioni Visa o Mastercard all'anno. Richiede valutazione annuale in loco da parte di un QSA.
Merchant Level 2: Da uno a sei milioni di transazioni all'anno.
Merchant Level 3: Da 20.000 a un milione di transazioni e-commerce.
Merchant Level 4: Meno di 20.000 transazioni e-commerce o meno di un milione di altre transazioni.

Cosa segnala la certificazione Level 1: Un gateway certificato PCI DSS Level 1 ha subito la valutazione di sicurezza di terze parti più rigorosa possibile. Per i merchant, questo rappresenta la più alta garanzia disponibile che l'infrastruttura di elaborazione su cui si affidano soddisfi il massimo standard di sicurezza del settore. È il livello di certificazione richiesto per i processori ad alto volume e quello che offre il più ampio beneficio di riduzione dello scope per i merchant.

Come l'Utilizzo di un Gateway PCI DSS Level 1 Riduce il Tuo Onere di Conformità

L'utilizzo di un gateway PCI DSS Level 1 riduce significativamente lo scope del tuo programma di conformità PCI DSS, ma l'entità della riduzione dipende dal tuo metodo di integrazione.

Integrazione con pagina ospitata (riduzione completa dello scope): Quando utilizzi la pagina di pagamento ospitata del gateway, il tuo cliente viene reindirizzato al dominio del gateway per inserire i dati della carta. La tua infrastruttura non vede mai i dati della carta. In questo modello, ti qualifichi per SAQ A, il questionario di auto-valutazione più semplice. SAQ A ha circa 22 requisiti, rispetto ai 300 di SAQ D. L'integrazione con pagina ospitata combinata con un gateway Level 1 fornisce la massima riduzione dello scope.

Integrazione Drop-in UI o iFrame (riduzione quasi completa dello scope): Quando il gateway fornisce elementi iFrame iniettati tramite JavaScript per l'inserimento della carta nella tua pagina di checkout, i dati della carta vengono gestiti all'interno dell'iFrame sicuro del gateway, non nel codice della tua pagina. La tua infrastruttura non gestisce i dati grezzi della carta. Ti qualifichi ancora per SAQ A con questo modello nella maggior parte delle interpretazioni. Questo fornisce lo stesso beneficio di riduzione dello scope di un redirect completo alla pagina ospitata con una migliore esperienza cliente.

REST API con tokenizzazione (riduzione moderata dello scope): Quando il tuo frontend raccoglie i dati della carta e li invia al tuo server, che poi chiama l'API del gateway, il tuo server è in scope per PCI DSS. Anche se tokenizzi immediatamente la carta e non archivi mai il PAN grezzo, il fatto che il tuo server abbia transato con dati grezzi della carta lo pone in scope. Questo tipo di integrazione richiede SAQ D o una valutazione QSA completa a seconda della tua scala, aumentando significativamente il costo e lo sforzo di conformità.

Cosa significa la riduzione dello scope in pratica: La conformità SAQ A è raggiungibile per la maggior parte delle PMI senza personale di sicurezza dedicato o costose valutazioni esterne. La conformità SAQ D richiede investimenti significativi in controlli di sicurezza, documentazione e potenzialmente un coinvolgimento QSA. La decisione sul metodo di integrazione è quindi una decisione significativa di costo di conformità, non solo tecnica.

Cosa Devono Ancora Fare i Merchant Anche con un Gateway Conforme

L'utilizzo di un gateway certificato PCI DSS Level 1 riduce il tuo onere di conformità ma non elimina tutti gli obblighi PCI. I merchant rimangono responsabili di diversi requisiti indipendentemente dal livello di certificazione del loro gateway.

Completa il tuo SAQ: Anche nell'ambito di SAQ A (il modulo più semplice per le integrazioni ospitate e iFrame), i merchant devono completare e conservare il questionario di auto-valutazione. La mancata compilazione del SAQ può comportare segnalazioni di non conformità da parte del tuo acquirente e potenziali sanzioni.

Proteggi il tuo livello applicativo: Il tuo sito web e la tua applicazione sono in scope per PCI DSS anche quando si utilizza un gateway ospitato, specificamente per quanto riguarda la prevenzione degli attacchi di web skimming. PCI DSS 4.0 ha introdotto requisiti specifici sulla protezione delle pagine di pagamento dall'iniezione di script lato client (attacchi in stile Magecart), che possono catturare i dati della carta mentre vengono inseriti prima che raggiungano l'iFrame del gateway. Devi implementare l'inventario degli script e il monitoraggio dell'integrità sulle tue pagine di pagamento.

Proteggi le tue credenziali API: Le chiavi API e i segreti di firma dei webhook devono essere archiviati in modo sicuro, ruotati regolarmente e mai esposti nel codice lato client o nel controllo versione. Credenziali API compromesse creano un rischio di sicurezza diretto anche quando il gateway stesso è conforme PCI Level 1.

Mantieni l'igiene del tuo sistema: Server, applicazioni e infrastrutture che fanno parte del tuo ambiente di pagamento devono essere mantenuti aggiornati e sicuri. I requisiti PCI DSS per il controllo degli accessi, il logging e la gestione dei cambiamenti si applicano ai tuoi sistemi in scope, non solo al gateway.

Non archiviare dati vietati: Anche quando si utilizza un gateway ospitato, non devi conservare numeri di carta completi, CVV o dati della banda magnetica in nessun sistema che controlli. Il logging che cattura inavvertitamente i body delle richieste, le piattaforme di analisi che ricevono dati dei moduli e i servizi di segnalazione degli errori sono tutte potenziali fonti di archiviazione di dati vietati.

Certificazione PCI DSS Level 1 di RoxPay e Cosa Copre

RoxPay detiene la certificazione PCI DSS Level 1 con numero di certificato QS83A47X629. Questa certificazione è mantenuta attraverso valutazioni annuali in loco da parte di un Qualified Security Assessor e scansioni trimestrali della rete da parte di un Approved Scanning Vendor.

Cosa copre la certificazione: L'intera infrastruttura di elaborazione dei pagamenti di RoxPay, inclusi vault dei dati delle carte, server di elaborazione delle transazioni, infrastruttura di rete, endpoint API e procedure operative. Lo scope della certificazione copre l'ambiente dei dati dei titolari di carta nella sua interezza, dal punto in cui i dati della carta entrano nel sistema RoxPay attraverso l'elaborazione, l'archiviazione (tokenizzata) e la trasmissione agli acquirenti.

Cosa significa per i merchant: I merchant che utilizzano il checkout ospitato o l'integrazione drop-in UI di RoxPay possono qualificarsi per SAQ A, il requisito di validazione della conformità minimo per i merchant che non gestiscono direttamente i dati delle carte. Questo riduce l'onere di conformità per i merchant a un'auto-valutazione annuale e scansioni trimestrali piuttosto che a un coinvolgimento QSA completo.

Certificazione ISO 27001: Oltre al PCI DSS Level 1, RoxPay detiene la certificazione ISO 27001, che copre il sistema di gestione della sicurezza delle informazioni in modo più ampio, inclusa la protezione dei dati, la gestione degli accessi, la risposta agli incidenti e la continuità operativa. Questo fornisce garanzie che vanno oltre il framework PCI specifico per i pagamenti.

Registrazione OAM: RoxPay è registrato presso l'OAM italiano (Organismo Agenti e Mediatori), confermando il suo status di operatore di pagamento regolamentato in Italia.

Per avviare la tua domanda RoxPay e accedere all'ambiente sandbox per i test di integrazione conformi PCI, completa il modulo di onboarding digitale. Le credenziali sandbox sono disponibili immediatamente dopo la registrazione. La documentazione API completa, inclusa la guida all'integrazione di sicurezza, è disponibile su app.roxpay.eu/api/v4/docs.

RoxPay elabora oltre 500 milioni di euro di volume annuo su 120 sistemi di pagamento con un SLA di uptime del 99,9%. Prezzi IC++ da 0,45%, settlement su qualsiasi banca SEPA in 24-48 ore.

Domande Frequenti

Qual è la differenza tra PCI DSS Level 1 e Level 2?

Per i service provider (gateway di pagamento), il Level 1 richiede una valutazione annuale in loco da parte di un Qualified Security Assessor, producendo un formale Report on Compliance. Il Level 2 consente il completamento autonomo di un Self-Assessment Questionnaire. Il Level 1 è più rigoroso e fornisce ai merchant una maggiore garanzia perché un esperto di sicurezza indipendente ha fisicamente revisionato e certificato l'intero ambiente di elaborazione.

Devo essere conforme PCI DSS se utilizzo il checkout ospitato di RoxPay?

Sì, ma il tuo obbligo di conformità è minimo. L'utilizzo del checkout ospitato o del drop-in UI di RoxPay significa che ti qualifichi per SAQ A, che prevede la compilazione di un breve questionario di auto-valutazione di circa 22 requisiti, oltre a scansioni trimestrali della rete da parte di un Approved Scanning Vendor. Non hai bisogno di un audit QSA o di una valutazione SAQ D completa.

Cos'è PCI DSS 4.0 e influisce sui merchant che usano checkout ospitati?

PCI DSS versione 4.0 è stato pubblicato nel 2022 ed è diventato lo standard effettivo nel 2024. Per i merchant che utilizzano checkout ospitati, il nuovo requisito più rilevante nella v4.0 è la necessità di mantenere un inventario degli script e il monitoraggio dell'integrità per tutti gli script in esecuzione sulle tue pagine di pagamento (per prevenire il web skimming). Questo si applica anche in SAQ A. La documentazione di integrazione di RoxPay include una guida per soddisfare questo requisito.

Approfondimenti

Ottimizza i tuoi pagamenti oggi

RoxPay è certificato PCI DSS Level 1 (QS83A47X629) e ISO 27001. I merchant che utilizzano il checkout ospitato si qualificano per la conformità SAQ A. IC++ da 0,45%, settlement su qualsiasi banca SEPA in 24-48 ore.

Attiva gratuitamente → Parla con un esperto

✓ Nessun costo fisso mensile · ✓ Attivazione in 24 ore · ✓ Supporto tecnico dedicato