Servizi

Sviluppo Software e Conformità PCI DSS per FinTech, E-commerce e SaaS che Gestiscono Dati dei Titolari di Carta

PCI DSS v4.0.1 è l'unica versione valida e i nuovi requisiti 'a data futura' sono diventati obbligatori il 31 marzo 2025 — tra cui scansioni interne autenticate, MFA nel CDE, revisione automatizzata dei log e i controlli di integrità degli script che colgono di sorpresa ogni merchant SAQ A-EP. Definiamo il perimetro del vostro cardholder data environment, vi spostiamo verso SAQ più semplici (A, A-EP, B, B-IP, C, C-VT, D, P2PE) con architetture di tokenizzazione, redirect e P2PE, implementiamo i 12 requisiti su rete, cifratura, IAM, logging, sviluppo sicuro e gestione fornitori, e gestiamo le relazioni con QSA/ISA/ASV. Controlli di livello ingegneristico, memo di scope difendibili dal QSA. Scoping da 6.000 EUR.

Sviluppo software conforme a PCI DSS per l'elaborazione sicura dei pagamenti

Il programma PCI DSS meno costoso è quello con lo scope più ridotto. Il più costoso è quello in cui un singolo modulo HTML non controllato sul sito marketing trascina l'intero stack web nel CDE. Iniziamo ogni ingaggio con un memo di scoping scritto accettabile dal QSA del vostro acquirer, poi progettiamo l'architettura che mantiene i dati dei titolari di carta fuori dai sistemi che non ne hanno bisogno — vault di tokenizzazione, checkout solo-redirect, terminali P2PE, CDE segmentato dietro regole firewall documentate. Il risultato: meno controlli da mantenere, audit più rapidi e una postura di sicurezza che supera l'enforcement v4.0.1.

Cosa consegniamo

Memo di scoping del CDE

Mappa scritta del cardholder data environment: ogni sistema che memorizza/elabora/trasmette PAN, ogni sistema connesso, ogni giustificazione di esclusione dallo scope. Decisione sull'idoneità SAQ e le modifiche architetturali per spostarsi verso SAQ più semplici.

Rete e segmentazione

Standard firewall Req 1, hardening Req 2, VPC/subnet dedicati per il CDE con ingress/egress documentati, jump host con MFA, test di segmentazione ai sensi del Req 11.4.5 (annuale per i merchant, ogni 6 mesi per i service provider).

Cifratura e gestione delle chiavi

Archiviazione PAN Req 3 con crittografia robusta (AES-256, validato FIPS 140-2/3), trasmissione Req 4 TLS 1.2+ con cipher suite forti, ciclo di vita delle chiavi ai sensi del Req 3.7, split knowledge e dual control per i custodi delle chiavi, cifratura envelope con KMS.

Sviluppo sicuro

SDLC sicuro Req 6: threat modelling, formazione al codice sicuro, code review, integrazione SAST/DAST, scansione dipendenze, workflow di change management, test OWASP Top 10 e controlli di integrità degli script web v4.0.1 (Req 6.4.3 + 11.6.1).

Logging e monitoraggio

Audit logging Req 10 con revisione automatizzata dei log v4.0.1 (Req 10.4.1.1), retention 1 anno (3 mesi immediatamente accessibili), FIM (Req 11.5), IDS/IPS (Req 11.5.1), monitoraggio integrità dei file e workflow di alerting verso la reperibilità.

Operazioni SAQ / RoC

Completamento SAQ (A, A-EP, B, B-IP, C, C-VT, D, P2PE) o supporto RoC, firma AOC, raccordo con il QSA, supervisione scansioni ASV trimestrali (Req 11.3.2), penetration test annuale (Req 11.4.3), analisi del rischio mirate per ogni approccio personalizzato v4.0.1.

Requisiti, controlli e standard che copriamo

PCI DSS v4.0.1 Req 1 Network Req 2 Hardening Req 3 Stored PAN Req 4 Transmission Req 5 Malware Req 6 Secure Dev Req 6.4.3 Script Mgmt Req 7 Access Restriction Req 8 Authentication / MFA Req 9 Physical Req 10 Logging Req 10.4.1.1 Auto Review Req 11 Vuln & Pentest Req 11.3.2 ASV Scans Req 11.6.1 Script Integrity Req 12 Policy & Risk SAQ A / A-EP SAQ B / B-IP / C / C-VT SAQ D / P2PE QSA Liaison ISA Support Tokenisation P2PE Validated PSD2 SCA / 3DS 2.x PIN Security / PCI 3DS

Come si svolge un ingaggio

  1. 01

    Scope e SAQ

    Settimane 1–3: inventario del CDE, decisione sull'idoneità SAQ, architettura di riduzione dello scope (tokenizzazione, redirect, P2PE), analisi delle lacune rispetto ai controlli applicabili, roadmap di remediation firmata dal responsabile della sicurezza.

  2. 02

    Progettazione e segmentazione

    Settimane 4–6: allestimento del CDE segmentato, deploy dell'architettura di tokenizzazione/redirect, isolamento dei sistemi connessi, documentazione del flusso dati e delle regole firewall, primo test di segmentazione.

  3. 03

    Implementazione dei controlli

    Settimane 6–12: MFA nel CDE, cifratura e gestione delle chiavi, logging e revisione automatizzata, SDLC sicuro, gestione fornitori, controlli script e il pacchetto di policy PCI mappato ai 12 requisiti.

  4. 04

    SAQ e attività continuative

    Durante tutto l'anno: scansioni ASV trimestrali, penetration test annuale, test di segmentazione, aggiornamento dell'analisi del rischio mirata, completamento SAQ / supporto RoC e firma AOC. Documentazione dell'approccio personalizzato v4.0.1 mantenuta aggiornata.

Pacchetti di ingaggio

Scoping

Da due a tre settimane, scope fisso. Mappatura del CDE, decisione sull'idoneità SAQ, memo architetturale di riduzione dello scope (tokenizzazione, redirect, P2PE), analisi delle lacune rispetto ai controlli SAQ applicabili, roadmap di remediation. 6.000 EUR fisso.

Implementazione

Da otto a dodici settimane. Segmentazione di rete, MFA, cifratura e gestione delle chiavi, logging con revisione automatizzata, sviluppo sicuro, gestione fornitori, controlli script web e il pacchetto di policy PCI DSS. 20.000 EUR fisso.

Rinnovo SAQ Annuale

Ingaggio annuale fisso. Supervisione scansioni ASV (trimestrale per tutto l'anno), aggiornamento dell'analisi del rischio mirata, coordinamento del penetration test annuale, test di segmentazione, completamento SAQ e supporto alla firma dell'AOC. 4.500 EUR fisso/anno.

Le tariffe del QSA per il Report on Compliance (RoC) sono fatturate separatamente dalla società QSA. Le tariffe delle scansioni ASV sono fatturate separatamente dall'ASV. Collaboriamo con il vostro QSA/ASV attuale o introduciamo fornitori dalla nostra rete. NDA e DPA firmati prima del kickoff.

Perché i team FinTech e i merchant scelgono YuSMP per PCI DSS

Conforme al GDPR · Pronto per ISO 27001 · SOC 2 Type II in corso · Compatibile HIPAA · PCI DSS v4.0.1-corrente

Ingegneri, non consulenti di policy

Leggiamo la vostra topologia VPC, il codice di integrazione Stripe/Adyen/Checkout e le vostre policy IAM prima di scrivere il memo di scoping. Le decisioni architetturali reggono perché riflettono ciò che il codice fa realmente.

Minimizzazione dello scope prima di tutto

Ogni ora dedicata alla riduzione dello scope risparmia cinque ore di preparazione all'audit e dieci ore di operazioni continuative. Partiamo dal CDE più ridotto e difendibile e documentiamo le esclusioni in un linguaggio accettabile dal vostro QSA.

Una libreria di evidenze, molti regimi

I Req PCI 7/8/10/12 si sovrappongono a SOC 2 CC, ISO 27001 Annex A e GDPR Articolo 32 per circa il 60%. Una sola libreria di evidenze, più pareri, nessuna duplicazione nella preparazione all'audit.

Per la selezione del QSA e la preparazione al RoC lavoriamo a fianco dell'elenco QSA raccomandato dal vostro acquirer o della nostra rete — il deliverable è un AOC pulito, non un PDF di marketing.

Cosa dicono i clienti

Lanciare una piattaforma crypto custodiale richiede profondità ingegneristica e consapevolezza della compliance. YuSMP ha consegnato il motore di trading, i grafici dei prezzi in tempo reale e i controlli admin puliti nei tempi previsti. La piattaforma ha elaborato i primi cento scambi senza un singolo incidente.
Victor Drake, CEO, Dragon TokenVedi il caso →
Aggregare i prezzi in tempo reale su più exchange mantenendo la latenza sotto i 500 ms è ingegneria davvero complessa. YuSMP ha integrato il feed multi-exchange, i grafici dei token in tempo reale e il flusso di listing in una piattaforma coerente. Non abbiamo avuto un’interruzione dal lancio.
Martin Webb, CTO, EverCoin BankVedi il caso →

Domande frequenti

Quale SAQ si applica al mio caso e come riduco lo scope?

Il PCI SSC definisce nove tipi di SAQ. SAQ A si applica ai merchant e-commerce/MOTO che esternalizzano completamente la gestione dei dati dei titolari di carta a una terza parte validata PCI (pagina di pagamento ospitata, redirect completo). SAQ A-EP si applica ai merchant il cui sito web influisce sul pagamento ma non riceve dati dei titolari di carta (ad es. JavaScript che invia direttamente al processore — la v4.0.1 ha aggiunto requisiti sull'integrità degli script). SAQ B riguarda i terminali con imprinter o dial-out standalone; SAQ B-IP i terminali IP standalone. SAQ C e C-VT sono per i sistemi di applicazioni di pagamento e i terminali virtuali. SAQ D è il questionario completo con 300+ domande — ogni service provider e ogni merchant che memorizza dati dei titolari di carta vi rientra. Lavoriamo per spostarvi verso SAQ più semplici: tokenizzazione, pattern iframe/redirect, terminali validati P2PE (SAQ P2PE) e isolamento di rete del CDE portano tipicamente un merchant di Livello 2 da SAQ D a SAQ A-EP o SAQ A.

Cosa cambia in PCI DSS v4.0.1 rispetto alla v3.2.1 e quando entrano in vigore i nuovi requisiti?

PCI DSS v4.0 ha sostituito la v3.2.1 il 31 marzo 2024; la v4.0.1 (errata release) è ora l'unica versione valida. I nuovi requisiti 'a data futura' sono diventati obbligatori il 31 marzo 2025 — tra cui analisi del rischio mirate per ogni requisito che ammette flessibilità, meccanismi automatizzati di revisione dei log (Req 10.4.1.1), scansioni di vulnerabilità interne autenticate (Req 11.3.1.2), controlli di integrità degli script web (Req 6.4.3 e 11.6.1 — critici per SAQ A-EP), MFA per tutti gli accessi al CDE (Req 8.4.2/8.5) e assegnazione documentata di ogni requisito a un ruolo. Colmiamo le lacune v4.0.1 e documentiamo le analisi del rischio mirate che il vostro QSA richiederà.

Qual è la differenza tra QSA, ISA e ASV — e quale devo effettivamente assumere?

Il QSA (Qualified Security Assessor) è un valutatore esterno certificato dal PCI SSC per eseguire audit Report on Compliance (RoC) — obbligatorio per i merchant di Livello 1 e la maggior parte dei service provider di Livello 1. L'ISA (Internal Security Assessor) è un dipendente interno certificato per svolgere valutazioni interne e firmare i SAQ per conto del proprio datore di lavoro. L'ASV (Approved Scanning Vendor) è una certificazione separata per i fornitori che eseguono scansioni trimestrali di vulnerabilità esterne ai sensi del Req 11.3.2 — Qualys, Tenable, Rapid7 e altri detengono lo status ASV. Di solito avete bisogno di un ASV fin dal primo giorno (scansioni trimestrali) e di un QSA solo se siete di Livello 1 o un service provider nell'elenco imposto dal circuito. Non siamo un QSA né un ASV; siamo il team che vi prepara per entrambi e gestisce la relazione.

Come la tokenizzazione e il P2PE riducono concretamente il mio scope PCI DSS?

Lo scope PCI DSS è definito dal cardholder data environment (CDE) — qualsiasi sistema che memorizza, elabora o trasmette dati dei titolari di carta, più i sistemi connessi. La tokenizzazione sostituisce il PAN con un token non sensibile emesso da un servizio di tokenizzazione validato PCI; se il PAN non tocca mai i vostri sistemi (o tocca solo un vault strettamente delimitato), la maggior parte del vostro stack è esclusa dallo scope. Il P2PE (Point-to-Point Encryption) è una soluzione validata dal PCI SSC che cifra i dati della carta nell'hardware del terminale con una chiave che i vostri sistemi non possono decifrare — i merchant idonei scendono a SAQ P2PE (~35 controlli contro 300+). Progettiamo l'architettura di tokenizzazione/P2PE, documentiamo la riduzione dello scope in un memo scritto accettabile dal vostro QSA e segmentiamo il CDE residuo dietro firewall/VPC peering con controlli di flusso documentati.

Come interagisce PCI DSS con PSD2 SCA, EMV 3-D Secure, GDPR e SOC 2?

Si tratta di livelli sovrapposti: PCI DSS protegge i dati dei titolari di carta a riposo e in transito; la PSD2 Strong Customer Authentication (SCA) disciplina il modo in cui il pagatore autentica una transazione nel SEE/UK (e EMV 3-D Secure 2.x è il protocollo tecnico che la realizza); il GDPR aggiunge obblighi sui dati personali sopra PCI — il PAN è un dato personale ai sensi del GDPR. I controlli SOC 2 CC e C si sovrappongono ai Req PCI 7, 8, 10, 12 per circa il 60%. Costruiamo una mappa di controlli integrata: flussi SCA, esenzioni 3DS, base giuridica GDPR Articolo 6 per il trattamento dei pagamenti, controlli di cifratura e accesso PCI DSS ed evidenze SOC 2 — tutto allineato affinché lo stesso controllo soddisfi più obblighi.

Come sono strutturati i prezzi e cosa è incluso o escluso?

Tre pacchetti. Lo scoping ha un prezzo fisso di 6.000 EUR (2–3 settimane): mappatura del CDE, decisione sull'idoneità SAQ, memo architetturale per la riduzione dello scope (tokenizzazione, redirect, P2PE), analisi delle lacune rispetto ai controlli SAQ applicabili, roadmap di remediation. L'implementazione ha un prezzo fisso di 20.000 EUR (8–12 settimane): segmentazione di rete, MFA su tutti gli accessi al CDE, cifratura (FIPS 140-2/3), logging ai sensi del Req 10 con revisione automatizzata, sviluppo sicuro ai sensi del Req 6, gestione fornitori ai sensi del Req 12.8, controlli script web ai sensi del Req 6.4.3/11.6.1 e il pacchetto di policy PCI DSS. Il Rinnovo SAQ Annuale ha un prezzo fisso di 4.500 EUR: supervisione delle scansioni ASV (trimestrale per tutto l'anno), aggiornamento dell'analisi del rischio mirata, completamento SAQ e supporto alla firma dell'AOC. Le tariffe del QSA sono fatturate separatamente dalla società QSA.

Avete bisogno di un memo di scoping PCI DSS difendibile prima della prossima revisione dell'acquirer?

Prenota una chiamata PCI

Richiedi una proposta

Condividete alcuni dettagli e un consulente senior risponderà entro un giorno lavorativo.

Preferite parlare direttamente? ☎ Call +374 44 871 811 ✉ sales@yusmpgroup.com