Il pci dss as a service è uno dei modelli di compliance più adottati in Europa, ma anche uno dei più fraintesi. Molti merchant pensano che delegare la conformità a un provider significhi trasferire tutta la responsabilità. La realtà è diversa: alcune responsabilità PCI DSS rimangono sempre in capo al merchant per legge, indipendentemente da quante componenti vengano esternalizzate. Conoscere esattamente questa distinzione è fondamentale per non avere sorprese durante un audit o a seguito di un data breach.
Cos'è il PCI DSS as a Service e cosa copre davvero
Il pci dss outsourcing in senso tecnico significa delegare la gestione del CDE (Cardholder Data Environment) a un provider certificato PCI DSS Level 1. Il provider si assume la responsabilità di tutti i controlli tecnici e organizzativi relativi al proprio perimetro: cifratura dei dati carta, gestione delle chiavi crittografiche con HSM certificato, monitoraggio della sicurezza, penetration testing, aggiornamenti di sicurezza e documentazione per l'audit annuale. Il merchant non deve certificare questi componenti: la certificazione del provider copre quella parte dell'infrastruttura.
Con la tokenization as a service europe, il perimetro PCI del merchant si riduce drasticamente. I sistemi aziendali ricevono solo token, non PAN, quindi escono dal perimetro PCI per le componenti che non toccano dati carta. Questo permette al merchant di compilare un SAQ A invece di un Report on Compliance completo, con un risparmio di tempo e costi che nella pratica si traduce in decine di migliaia di euro all'anno. Il provider gestisce anche gli aggiornamenti alla versione corrente dello standard (attualmente PCI DSS v4), garantendo che il perimetro delegato rimanga sempre conforme.
Cosa non puoi mai delegare: responsabilità residua del merchant
Anche con il modello as-a-service più completo, alcune responsabilità rimangono sempre in capo al merchant. La gestione degli accessi degli utenti ai propri sistemi, le politiche di sicurezza interne, la formazione del personale sui rischi di sicurezza, il monitoraggio dei log applicativi propri e la gestione degli incidenti di sicurezza che riguardano la propria infrastruttura (anche se non contiene dati carta) sono tutti ambiti che non possono essere delegati a un provider esterno.
In caso di data breach che coinvolge dati carta custoditi dal provider, la responsabilità contrattuale e legale nei confronti dei clienti finali rimane in capo al merchant come titular del trattamento ai sensi del GDPR. Il provider risponde per la propria parte, ma il merchant non può liberarsi della responsabilità verso i propri clienti. Questo è il motivo per cui i contratti con provider PCI DSS devono includere clausole chiare sulla responsabilità, sulle notifiche in caso di breach e sulle garanzie assicurative.
Confronto costi: DIY vs PCI DSS as a Service
Un merchant che gestisce internamente il proprio CDE affronta costi fissi e variabili significativi. Sul lato fisso: infrastruttura dedicata (server, HSM, firewall certificati), personale specializzato in sicurezza (almeno un security engineer a tempo pieno), audit QSA annuale (tra 30.000 e 80.000 euro per Livello 1), penetration test semestrali (da 5.000 a 20.000 euro per intervento). Sul lato variabile: costi di remediation per ogni gap trovato durante gli audit, aggiornamenti infrastrutturali richiesti dai nuovi requisiti dello standard.
Con il modello as-a-service, il costo si riduce a una quota mensile o per-transazione che scala con i volumi. L'audit del proprio perimetro ridotto (tipicamente un SAQ A) richiede poche ore di lavoro interno invece di settimane. Non c'è infrastruttura da gestire, non c'è personale specializzato da assumere e non ci sono costi di remediation per il perimetro delegato. Per la maggior parte delle aziende europee con meno di 6 milioni di transazioni annue, il break-even rispetto al DIY si raggiunge entro il primo mese di utilizzo.
Domande frequenti
Con il PCI DSS as a Service devo ancora compilare il SAQ?
Sì, ma in modo molto più semplice. Con un perimetro ridotto grazie alla tokenizzazione, la maggior parte dei merchant può compilare un SAQ A, che è il questionario più breve e meno impegnativo, applicabile quando nessun dato carta transita sui sistemi del merchant. La compilazione richiede alcune ore invece delle settimane necessarie per i SAQ più complessi.
Il modello as a service vale anche per i merchant di Livello 1?
Sì. Anche un merchant di Livello 1 può ridurre significativamente il proprio perimetro delegando il CDE. L'audit rimane obbligatorio (ROC con QSA), ma il perimetro da auditare è molto più piccolo. Molti merchant di Livello 1 usano il modello as-a-service proprio per semplificare e ridurre i costi dell'audit annuale.
Quanto tempo ci vuole per attivare il servizio?
L'integrazione tecnica di PCI Proxy EU richiede tipicamente 3-10 giorni lavorativi per un team con esperienza in API REST. Il processo include la firma del contratto, l'accesso alla sandbox per i test, l'integrazione in produzione e la verifica funzionale. Non è richiesta alcuna infrastruttura aggiuntiva da parte del merchant.
Vuoi delegare la parte tecnica della compliance PCI DSS e mantenere solo le responsabilità che per legge restano in capo al merchant? Scopri PCI Proxy EU.