Spesso ci viene chiesto se Kinsta offre un servizio di hosting conforme allo standard PCI, quindi oggi approfondiremo questo argomento. Molti non si rendono conto che ogni negozio e-commerce che elabora, archivia o trasmette dati relativi alle carte di credito è tenuto a essere conforme allo standard PCI, indipendentemente dal proprio volume di vendite annuale. È quindi importante dedicare un po’ di tempo a comprendere meglio la conformità PCI e il suo impatto sulla tua attività.

Che cos’è il PCI?

Il termine PCI sta per “Payment Card Industry”. Lo sentirai spesso nel contesto del PCI DSS — lo standard di sicurezza dei dati del settore delle carte di pagamento. Si tratta di una serie di standard di sicurezza per qualsiasi azienda che accetta, archivia o trasmette dati relativi alle carte di credito, creata per proteggere i consumatori e garantire che i dati di pagamento siano gestiti in modo sicuro.

Aziende come American Express, Discover, JCB International, MasterCard e Visa hanno i propri programmi di conformità, ma tutte seguono le regole stabilite dal PCI Security Standards Council (di cui sono membri fondatori).

Nel marzo 2022 è stata rilasciata la versione 4.0 del PCI DSS, che sostituisce il precedente standard 3.2.1. La nuova versione si concentra sul rafforzamento della sicurezza e sull’offerta di una maggiore flessibilità nel modo in cui le aziende raggiungono gli obiettivi di conformità. Le modifiche principali includono:

  • Un nuovo “approccio personalizzato” alla conformità, affiancato al tradizionale modello basato su checklist
  • Autenticazione a più fattori (MFA) obbligatoria per tutti gli accessi agli ambienti contenenti i dati dei titolari di carte
  • Maggiore attenzione alla sicurezza intesa come processo continuo, non come soluzione una tantum
  • Requisiti potenziati per la protezione delle piattaforme di e-commerce e delle applicazioni web — particolarmente rilevanti per i siti WordPress e WooCommerce

Se gestisci pagamenti o dati dei clienti sul tuo sito WordPress, è importante capire in che modo questi cambiamenti influenzano le tue responsabilità ai sensi dello standard PCI DSS.

Kinsta offre un hosting conforme allo standard PCI?

È importante comprendere che il fatto che un host sia conforme allo standard PCI non significa automaticamente che lo sia anche il tuo sito web. Questo perché la conformità allo standard PCI DSS segue un modello di responsabilità condivisa.

In qualità di provider di hosting WordPress gestito, Kinsta è responsabile della sicurezza dell’infrastruttura server, dell’aggiornamento delle patch del sistema operativo, dell’applicazione di rigorose protezioni a livello di rete e del supporto di connessioni TLS (HTTPS) sicure. Tuttavia, tutto ciò che si trova al di sopra del livello dell’infrastruttura — come la messa in sicurezza della tua installazione WordPress, la gestione di plugin e temi, la gestione delle informazioni di pagamento e la corretta configurazione del tuo sito — ricade sotto il tuo controllo.

In pratica, ciò significa che la maggior parte della responsabilità ricade ancora su di te in quanto proprietario del sito web. Ad esempio, se gestisci un negozio WooCommerce, sei responsabile della gestione dei dati dei clienti, dell’elaborazione delle carte di credito, della protezione degli account utente e della manutenzione del codice del tuo sito.

Kinsta non garantisce la conformità PCI e non possiamo sottoporre il tuo sito a verifica per accertare se la tua implementazione soddisfi i requisiti. Tuttavia, ciò non significa che non puoi essere conforme allo standard PCI pur utilizzando i nostri servizi di hosting.

Molti dei nostri clienti hanno collaborato con revisori di terze parti per superare con successo le verifiche di conformità PCI. In alcuni casi, su richiesta, abbiamo apportato alcune piccole modifiche all’infrastruttura, ma le verifiche sono state superate grazie a una combinazione di configurazioni da parte del cliente e alla guida di terze parti.

Sebbene non partecipiamo direttamente al processo di audit, siamo lieti di aiutare con modifiche specifiche dove necessario.

Come essere conformi

Ecco alcune best practice per assicurarti di essere conforme su Kinsta:

1. Questionario di autovalutazione PCI

Compila ogni anno il Questionario di autovalutazione (SAQ) per aiutarti a determinare se la tua configurazione di elaborazione dei pagamenti è conforme allo standard PCI.

2. TLS e HTTPS

Fornisci le tue pagine di pagamento in modo sicuro utilizzando TLS 1.3 (preferito) o TLS 1.2 per abilitare HTTPS (connessioni crittografate). PCI DSS 4.0 richiede una configurazione TLS sicura, che includa suite di cifratura robuste e valutazioni di sicurezza regolari. Kinsta mantiene sempre aggiornate le versioni TLS sui propri server ed è possibile installare facilmente un certificato SSL dalla propria dashboard MyKinsta.

Ecco come installare il certificato SSL su WooCommerce.

PCI DSS 4.0 accetta certificati con convalida del dominio (DV), a condizione che utilizzino algoritmi di crittografia robusti (come SHA-256) e siano gestiti correttamente. Su Kinsta, i certificati SSL — compreso il supporto wildcard — vengono emessi automaticamente tramite la nostra integrazione gratuita con Cloudflare, garantendo connessioni HTTPS sicure e conformi per impostazione predefinita. Per una maggiore sicurezza o per soddisfare i requisiti aziendali, puoi anche scegliere di installare un certificato EV (Extended Validation) o OV (Organization Validated) personalizzato.

Assicurati di leggere la nostra guida TLS vs SSL.

3. Elabora i pagamenti tramite un fornitore di terze parti

Uno dei modi più semplici per semplificare la conformità PCI è elaborare le transazioni con carta di credito tramite un fornitore di terze parti. Puoi collegare facilmente il tuo negozio WooCommerce o Easy Digital Downloads a un gateway di pagamento, come Stripe o PayPal. Dovresti comunque consultare le loro linee guida sulla conformità PCI, poiché il semplice fatto di elaborare le carte di credito fuori dal sito non garantisce sempre la conformità. Potrebbero essere necessari ulteriori passaggi.

4. Implementare un firewall

Lo standard PCI DSS richiede che i sistemi che gestiscono i dati dei titolari di carte siano protetti da firewall correttamente configurati per controllare il traffico e bloccare gli accessi non autorizzati.

Su Kinsta, ogni sito beneficia di più livelli di protezione firewall. Tutto il traffico web viene instradato attraverso la nostra integrazione con Cloudflare, che include un Web Application Firewall (WAF) completamente gestito con set di regole personalizzate, filtraggio intelligente del traffico e mitigazione DDoS integrata ai margini della rete.

Questo approccio fornisce una solida protezione predefinita contro minacce comuni quali tentativi di accesso non autorizzati, bot dannosi e attacchi a livello di applicazione.

Se il tuo revisore PCI o il tuo team di sicurezza richiede ulteriori personalizzazioni, puoi anche integrare un Web Application Firewall (WAF) di terze parti come Sucuri o piani Cloudflare autonomi con regole personalizzate.

5. Eseguire test di sicurezza regolari

Lo standard PCI DSS 4.0 include requisiti specifici relativi ai test di sicurezza continui. Ciò include la scansione delle vulnerabilità, i test di penetrazione e il monitoraggio dell’integrità dei file per individuare e risolvere potenziali minacce alla sicurezza prima che diventino problemi.

Noi di Kinsta proteggiamo il tuo ambiente con funzionalità quali mitigazione DDoS, scansione antimalware, firewall hardware e altre misure di sicurezza a livello di infrastruttura. Tuttavia, sei responsabile del test del livello applicativo, inclusi il tuo sito WordPress, i plugin, i temi e qualsiasi codice personalizzato.

Oltre alle scansioni ASV, raccomandiamo anche di effettuare regolarmente test interni per ridurre i rischi e anticipare i controlli di conformità:

  • Utilizzare uno scanner di vulnerabilità per individuare plugin e temi obsoleti o non sicuri
  • Pianificare test di penetrazione periodici, specialmente se si gestiscono direttamente i dati di pagamento
  • Abilitare il monitoraggio delle modifiche ai file utilizzando un plugin di sicurezza per WordPress

Alcuni gestori di pagamenti o società di sicurezza di terze parti potrebbero anche fornire strumenti per aiutare a soddisfare questi requisiti di test come parte del processo di conformità PCI.

6. Autenticazione a più fattori

L’autenticazione a più fattori (MFA) è un metodo di sicurezza che richiede agli utenti di fornire due o più tipi di credenziali prima di ottenere l’accesso — in genere una combinazione di qualcosa che conosci (come una password) e qualcosa che possiedi (come un codice da un’app di autenticazione sul tuo telefono).

Questo viene comunemente definito autenticazione a due fattori (2FA), che è una forma specifica di MFA che utilizza esattamente due fattori. Sebbene i termini siano spesso usati in modo intercambiabile, lo standard PCI DSS 4.0 ora utilizza il termine più ampio MFA ed estende le situazioni in cui è richiesta.

Ai sensi dello standard PCI DSS 4.0, l’MFA è obbligatoria per:

  • Tutti gli accessi all’ambiente dei dati dei titolari di carta (CDE)
  • Tutti gli accessi remoti ai sistemi che gestiscono i dati di pagamento
  • Qualsiasi accesso amministrativo ai sistemi di elaborazione dei pagamenti

Su Kinsta, l’autenticazione a due fattori (2FA) è richiesta per tutti gli accessi a MyKinsta, aggiungendo un ulteriore livello di protezione per la tua dashboard di hosting. Puoi anche abilitare l’autenticazione a due fattori per la tua area amministrativa di WordPress per proteggere ulteriormente il tuo sito.

7. Sicurezza del data center

L’infrastruttura cloud di Kinsta è progettata per soddisfare rigorosi requisiti di sicurezza e conformità per l’hosting di carichi di lavoro sensibili, inclusi gli ambienti che supportano gli sforzi di conformità PCI DSS.

I nostri data center implementano controlli di sicurezza fisica a più livelli, quali accesso controllato alle strutture, monitoraggio continuo, sistemi di rilevamento delle intrusioni e personale di sicurezza in loco. Tutti gli accessi e le attività vengono registrati e sottoposti a revisione per supportare le indagini sugli incidenti e i requisiti di conformità.

I dati vengono crittografati sia in transito che inattivi utilizzando standard di crittografia avanzati, tra cui AES a 256 bit per i dati archiviati. Le chiavi di crittografia vengono gestite e sostituite regolarmente nell’ambito dei nostri controlli di sicurezza più ampi.

Kinsta è conforme allo standard SOC 2. Puoi trovare ulteriori informazioni sulla nostra pagina dedicata alla conformità SOC 2, oppure visitare la nostra pagina Trust Report

Brian Jackson

Brian ha una grande passione per WordPress, lo usa da più di dieci anni e sviluppa anche un paio di plugin premium. Brian ama i blog, i film e le escursioni. Entra in contatto con Brian su Twitter.