FRAMEWORK · PCI-DSS v4.0

PCI-DSS v4.0.
Per chi elabora carte.

Se la tua azienda elabora, archivia o trasmette dati di carte (POS fisici, e-commerce, terminali POS), PCI-DSS v4.0 è obbligatorio. Itamite copre i requisiti tecnici sugli endpoint (Req. 5, 6, 7, 8, 10, 11.5) con evidenza firmata per il tuo QSA.

Vedi prezzi Demo PCI-DSS

Livelli PCI per volume

Level 1: > 6M transazioni/anno. Audit QSA annuale obbligatorio + scan ASV trimestrale. Level 2: 1-6M transazioni. SAQ (Self Assessment Questionnaire) annuale + scan ASV trimestrale. Level 3: 20K-1M e-commerce. SAQ annuale + scan ASV trimestrale. Level 4: < 20K e-commerce o < 1M totale. SAQ annuale consigliato.

Sanzioni per non conformità: 5.000-100.000 USD/mese a seconda della banca acquirer. In caso di breach: fino a 500.000 USD per evento + possibile esclusione dall'elaborazione di carte.

REQUISITI PCI ↔ ITAMITE

Mappatura punto per punto

Req. 5 — Protezione antimalware

Itamite verifica continuamente: AV installato e operativo (5.2.1), AV aggiornato <7 giorni (5.2.2), AV scansiona automaticamente (5.2.3), nessuna possibilità di disattivazione da parte dell'utente finale (5.2.5). Compatibile con CrowdStrike, SentinelOne, Defender, Sophos, ESET, Kaspersky.

Req. 6 — Sistemi e applicazioni sicuri

Rilevamento delle patch critiche pendenti (6.3.3), inventario software con versioni (6.2), software EOL segnalato, vulnerabilità CVE note nel software rilevato (6.2.4).

Req. 7 — Restrizione di accesso per funzione

Rilevamento account amministratore locali e relativa giustificazione (7.2), politiche di minimo privilegio (7.2.2), revisione periodica degli accessi (7.2.4). Integrazione con AD/Azure AD per la gestione centralizzata.

Req. 8 — Identificazione e autenticazione

Politica password (lunghezza, complessità, scadenza — 8.3), MFA per accesso amministrativo (8.4), rilevamento account inattivi, account Guest disabilitato. Audit completo dei login.

Req. 10 — Logging e monitoraggio

Audit immutabile hash-chain di tutta l'attività amministrativa (10.2), retention minima 1 anno con 3 mesi immediatamente accessibili (10.5.1), sincronizzazione tempi NTP (10.6), revisione giornaliera automatica dei log (10.4.1).

Req. 11.5 — Rilevamento cambiamenti non autorizzati

Itamite rileva i cambiamenti nella configurazione critica di ciascun dispositivo, segnalando modifiche non autorizzate (11.5.2). Politiche dichiarative che ripristinano automaticamente i cambiamenti.

DOMANDE FREQUENTI

Dubbi su PCI-DSS

Itamite è PCI-DSS compliant?
Itamite NON archivia dati di carte (PAN, CVV, ecc.) di per sé. Pertanto il perimetro PCI della piattaforma stessa è limitato. Stripe (il nostro processor di pagamenti) è PCI-DSS Level 1. L'uso di Itamite non amplia il tuo perimetro PCI finché lo utilizzi solo per la gestione IT.
Copre lo scan ASV trimestrale?
Non direttamente. Lo scan ASV è una scansione esterna di vulnerabilità web eseguita da un Approved Scanning Vendor (Qualys, Tenable, Trustwave). Itamite è complementare: copre lo stato interno degli endpoint, non lo scan perimetrale.
E per ambienti con POS fisici?
Particolarmente utile. Ogni terminale POS deve avere l'agente Itamite. Verifichi continuamente: AV attivo, patch aggiornate, configurazione corretta, nessun software non autorizzato. Riduce drasticamente il rischio di skimming/POS malware.
Il report Itamite è valido per il QSA?
Sì, come evidenza tecnica dei requisiti coperti. Il QSA effettuerà comunque le proprie verifiche. Itamite riduce il tempo di audit fornendo evidenze preparate e firmate.
Quanto riduce il costo dell'audit QSA?
A seconda del QSA e del perimetro, tipicamente 20-40% di riduzione delle ore fatturabili grazie a evidenze tecniche preparate in formato diretto. Alcuni QSA raccomandano già ai propri clienti strumenti come Itamite per agilità di processo.

Prossimo audit PCI-DSS?

Demo orientata al tuo livello PCI con caso reale retail/e-commerce. Ti mostriamo il report tecnico per il QSA.

Vedi prezzi Richiedi demo