La cardholder data protection è il cuore del PCI DSS. Lo standard nasce proprio per definire come i dati del titolare della carta devono essere protetti lungo tutto il ciclo di vita: raccolta, trasmissione, archiviazione ed eliminazione. Sapere esattamente quali dati rientrano nel perimetro, quali possono essere conservati e con quali requisiti, è il primo passo per costruire un programma di compliance sostenibile nel tempo.
Cosa sono i cardholder data: PAN, CVV e dati sensibili di autenticazione
Il PCI DSS distingue tra cardholder data e sensitive authentication data (SAD). I cardholder data includono il PAN (Primary Account Number), il nome del titolare, la data di scadenza e il codice di servizio. Questi dati possono essere archiviati a condizione che siano protetti con cifratura forte, troncamento, hashing o tokenizzazione e che l'archiviazione sia giustificata da un requisito di business documentato.
I sensitive authentication data sono una categoria distinta con requisiti molto più restrittivi: il CVV/CVC (il codice a tre o quattro cifre sul retro della carta), i dati completi della magnetic stripe, i dati del chip EMV e i PIN. Questi dati non possono mai essere archiviati dopo il completamento dell'autorizzazione, indipendentemente dalla forma in cui si trovano, cifrati o meno. La violazione di questa regola è una delle cause più frequenti di incidenti di sicurezza nei pagamenti.
Obblighi PCI DSS per chi archivia dati titolari
Chi decide di archiviare i cardholder data entra automaticamente nel perimetro del cardholder data environment e deve rispettare tutti i requisiti dell'Obiettivo 3 del PCI DSS: policy di retention documentata, cifratura dei PAN a riposo con algoritmi approvati (AES-256 è lo standard), gestione sicura delle chiavi crittografiche e procedure di eliminazione sicura dei dati quando non più necessari. Il PAN non deve mai essere conservato in chiaro in log di sistema, file temporanei, dump di database o altri repository non protetti.
L'encrypted card storage non è sufficiente da sola: la cifratura è efficace solo se la gestione delle chiavi è altrettanto sicura. Lo standard richiede separazione dei ruoli tra chi gestisce i dati e chi gestisce le chiavi, rotazione periodica delle chiavi, procedure di key escrow e audit trail completi di ogni operazione crittografica. Costruire e mantenere questo sistema internamente ha costi significativi sia in termini tecnici che organizzativi.
Come la tokenizzazione elimina il problema alla radice
La tokenizzazione risolve il problema in modo strutturale: se il PAN non viene mai archiviato nella tua infrastruttura, non esiste perimetro da proteggere per quella componente. Il token restituito da PCI Proxy EU è un riferimento opaco senza valore crittografico derivabile dal PAN reale. I sistemi che vedono solo token non rientrano nel CDE per la parte di archiviazione dati e possono essere gestiti con i normali controlli di sicurezza IT.
Questo non significa che la tokenizzazione elimina tutti gli obblighi PCI: i sistemi che inviano il PAN al vault prima della tokenizzazione, quelli che ricevono il PAN per l'autorizzazione e i componenti di controllo degli accessi al vault rimangono in scope. Ma la superficie complessiva si riduce drasticamente, i requisiti applicabili sono meno onerosi e il percorso verso la compliance diventa gestibile anche per organizzazioni senza un team di sicurezza dedicato.
Domande frequenti
Il CVV si può archiviare dopo un acquisto?
No, mai. Il CVV (e qualsiasi dato SAD) non può essere archiviato dopo il completamento dell'autorizzazione. Questa è una delle poche regole PCI DSS senza eccezioni: non esistono misure compensative che permettano di conservare il CVV in forma cifrata. Se viene trovato nei backup o nei log, costituisce una violazione immediata. L'unica soluzione è non raccoglierlo in modo persistente.
Il nome del titolare è considerato dato sensibile PCI?
Il nome del titolare rientra nei cardholder data ma non nei sensitive authentication data. Può essere archiviato, ma solo se associato a un PAN protetto e con le misure di sicurezza appropriate. Se archiviato in modo autonomo, senza il PAN associato, il suo impatto sulla compliance è molto ridotto. Non è comunque buona pratica conservarlo oltre il necessario per finalità di business documentate.
Cosa devo fare se trovo PAN nei miei backup?
Il ritrovamento di PAN in chiaro nei backup è un incidente di sicurezza che richiede risposta immediata. I passi sono: isolare i backup interessati, avvisare il proprio acquirer e il responsabile sicurezza, condurre una valutazione del rischio di esposizione e procedere alla cancellazione sicura. Se i dati sono stati potenzialmente esposti, può scattare l'obbligo di notifica ai circuiti e, in Europa, al Garante Privacy. Meglio prevenire con una discovery periodica dei PAN nei sistemi.
Zero cardholder data nel tuo ambiente: la soluzione più semplice è non archiviarli. Scopri PCI Proxy EU.