Il PCI DSS v4 è entrato in vigore nel marzo 2022, ma molti dei suoi nuovi requisiti sono diventati obbligatori solo nel marzo 2025. Per i merchant europei si tratta di un aggiornamento significativo: lo standard porta oltre 60 nuovi requisiti rispetto al v3.2.1, con un focus rafforzato su autenticazione, monitoraggio continuo e gestione del rischio. Chi non si è ancora adeguato è già fuori compliance.
Le principali novità del PCI DSS v4 rispetto al v3.2.1
Il PCI DSS v4 mantiene i 12 requisiti principali del v3.2.1 ma li arricchisce con sotto-requisiti nuovi e criteri di valutazione aggiornati. Le aree con i cambiamenti più rilevanti sono l'autenticazione (requisito 8), il monitoraggio dei sistemi (requisito 10) e la gestione delle vulnerabilità (requisito 6). Il v4 introduce anche il concetto di approccio customizzato: le organizzazioni con controlli di sicurezza maturi possono dimostrare la conformità con metodi alternativi, purché documentino e giustifichino l'equivalenza dei controlli.
Tra le novità più impattanti c'è il requisito di autenticazione multi-fattore (MFA) estesa: nel v4 la MFA diventa obbligatoria per tutti gli accessi al CDE, non solo per gli accessi remoti come nel v3.2.1. Cambia anche l'approccio alla protezione delle pagine di checkout: il requisito 6.4.3 richiede ora un inventario e un'analisi di integrità di tutti gli script presenti sulle pagine di pagamento, per contrastare attacchi di tipo e-skimming.
Scadenze PCI DSS v4: cosa era obbligatorio dal 2024
Il PCI DSS v3.2.1 è andato in pensione il 31 marzo 2024: da quella data tutti i report di conformità (ROC e SAQ) devono fare riferimento allo standard v4. I requisiti etichettati come "future-dated" nel v4 originale, invece, sono diventati obbligatori il 31 marzo 2025. Questi includono i nuovi controlli sugli script delle pagine di pagamento, requisiti rafforzati sulla gestione delle password e criteri aggiornati per il monitoraggio dei log di sicurezza.
Per i merchant europei la scadenza del 2025 è particolarmente rilevante perché molti acquirer stanno iniziando a richiedere SAQ aggiornati al v4 nelle procedure di onboarding e rinnovo annuale. Presentare un SAQ basato sul v3.2.1 non è più sufficiente. Il mancato adeguamento espone a richieste di remediation da parte dell'acquirer e, nei casi più gravi, alla sospensione dell'abilitazione ad accettare carte.
Come adeguarsi al PCI DSS v4 senza grandi investimenti
Il percorso più efficiente per la maggior parte dei merchant passa dalla riduzione del perimetro di compliance. Se i dati carta non transitano nei sistemi dell'azienda, molti dei nuovi requisiti v4 non si applicano. La tokenizzazione con un provider certificato PCI DSS Level 1 sposta la responsabilità della protezione dei dati carta al di fuori del perimetro aziendale. Questo non elimina tutti gli obblighi, ma riduce drasticamente il numero di sistemi, processi e persone che rientrano nel CDE.
Un merchant ecommerce che integra un sistema di tokenizzazione prima del checkout può tipicamente scendere al SAQ A, il questionario di auto-valutazione più semplice, con meno di 50 requisiti rispetto ai oltre 200 del SAQ D. Questa riduzione impatta direttamente i costi di compliance annuali: meno vulnerability scan, meno sistemi da monitorare, pen test su un perimetro ridotto. Con il PCI DSS v4 la riduzione del scope diventa ancora più conveniente rispetto al passato.
Domande frequenti
Il PCI DSS v4 è già obbligatorio?
Sì. Il PCI DSS v3.2.1 è stato ritirato il 31 marzo 2024. Da quella data tutti i report di conformità devono riferirsi al v4. I requisiti "future-dated" del v4 sono diventati obbligatori il 31 marzo 2025. Un merchant che presenta oggi un SAQ basato sul v3.2.1 non è più considerato conforme dagli acquirer.
Quanti requisiti ha il PCI DSS v4?
Il PCI DSS v4 mantiene i 12 requisiti principali ma introduce oltre 60 nuovi sotto-requisiti rispetto al v3.2.1, portando il totale complessivo dei controlli a oltre 300 per le aziende con CDE complesso. Il numero effettivo di requisiti applicabili a un singolo merchant dipende dal tipo di integrazione e dal SAQ di riferimento.
Come cambia il SAQ con PCI DSS v4?
I modelli SAQ sono stati aggiornati al v4 con nuove domande, criteri di test rivisti e requisiti aggiuntivi. Il SAQ A, quello per merchant con scope minimo, ha subito modifiche relativamente contenute. Il SAQ D, che si applica ai merchant con CDE completo, include i nuovi requisiti su MFA, monitoraggio script e gestione delle vulnerabilità. È consigliabile verificare con il proprio acquirer quale versione del SAQ è richiesta per il rinnovo.
Adeguarsi al PCI DSS v4 partendo dall'infrastruttura di tokenizzazione è il percorso più rapido ed economico per la maggior parte dei merchant. Scopri PCI Proxy EU.