Chi sono e cosa fanno i PFI
Sicurezza nei pagamenti con carte di credito e investigazione digitale, alla scoperta di un metodo e di un’opportunità, e uno standard giunto ormai alla sua terza revisione.
Nello scorso articolo abbiamo introdotto, nell’ambito generale del tema della sicurezza delle informazioni, l’argomento dell’investigazione digitale (digital forensics), in particolare quando questa si debba svolgere in relazione alle transazioni elettroniche relative a pagamenti effettuati con carte di credito. Ci sembra ora il momento di esaminare, con maggiore dettaglio facendo riferimento ai contenuti dello standard PCI-DSS, quali siano le situazioni nelle quali la soggezione alle regole prescritte – che di fatto hanno forza di legge tra le parti come previsto dall’art. 1372 del Codice Civile – implichi lo svolgimento di operazioni specifiche di investigazione digitale, esclusivamente da parte di soggetti determinati; vale a dire, in questo caso, i PCI Forensics Investigator anche identificati con l’acronimo PFI. I PFI, infatti, sono le uniche entità abilitate e devono essere costituite in forma di persone giuridiche; attualmente non sono presenti in Italia, così come anche in altre nazioni. I PFI sono certificati in base a specifiche procedure di valutazione dai brand che compongono e hanno fondato il PCI Council, e intervengono nello svolgimento di efficaci e rilevanti operazioni di investigazione digitale, in caso di violazioni avvenute su dati relativi a pagamenti con carta di credito.
La valenza contrattuale dell’accordo
PCI-DSS Da un punto di vista strettamente legale si deve considerare che quanto appena affermato si verifica perchè la possibilità per una organizzazione – nello specifico linguaggio dello standard l’esercente (merchant) – di ricevere dai suoi clienti pagamenti a mezzo carte di credito, deriva in primo luogo dalla sua adesione a un contratto e dal rispetto puntuale delle previsioni in esso contenute. Il contratto che consente all’esercente di ricevere i pagamenti a mezzo carte di credito è stipulato in genere tramite una banca (acquirer o merchant bank secondo la terminologia inglese) presso la quale il soggetto ha accesso a un conto corrente. A sua volta, la stessa banca è obbligata, a monte, con l’emittente della carta di credito (il c.d. issuer), da una parte, a rispettare lo standard stesso e, dall’altra, a esigerne a valle il rispetto da parte dei suoi clienti, ovvero gli esercenti. Di regola, quindi, in buona sostanza, a fronte della possibilità di ricevere i pagamenti a mezzo carta di credito è imposto all’esercente, l’adempimento puntuale, delle prescrizioni dello standard PCI-DSS che si caratterizza, come abbiamo visto, per essere particolarmente stringente. Da sottolineare che in caso di inadempimento sono previste pesanti penali contrattuali. Nella peggiore delle ipotesi le sanzioni contrattuali derivanti dall’inosservanza delle prescrizioni di sicurezza, ovvero dalle procedure di reazione a eventuali violazioni, possono giungere sino alla revoca della possibilità di ricevere pagamenti a mezzo carta di credito. Le previsioni contrattuali PCI-DSS, inoltre, per quanto ci interessa in questa sede, lasciano, ai soggetti che emettono le carte di pagamento – VISA, MasterCard, American Express etc. – la facoltà di stabilire, se, quando e come, le operazioni d’investigazione digitale possano essere svolte, con efficacia probatoria, in seguito al verificarsi di un incidente di sicurezza. Riferimenti più puntuali relativi alle procedure di reazione ai data breach dei brand partecipanti al Consiglio PCIDSS sono disponibili nei relativi siti internet degli stessi. Per approfondimenti si può per esempio consultare il documento VISA Europe: “What to do if compromised”. In questo si prevede espressamente, nelle procedure sopra citate destinate a essere seguite dagli esercenti e dalle banche (acquirer o merchant bank) contraenti degli esercenti che hanno subito una compromissione dei dati di titolari di carta, il fatto che siano le banche a dover ricorrere a loro spese solo ed esclusivamente a dei PFI per lo svolgimento delle attività di investigazione digitale, qualora la compromissione abbia oggetto più di un certo numero di account. Considerati i costi molto elevati di assistenza dei PFI, alcune emittenti carte di credito hanno istituito programmi dedicati di investigazione digitale per i piccoli esercenti nel caso in cui gli account compromessi siano di non rilevante entità.
I requisiti di un PFI
Le caratteristiche che deve possedere un PFI per essere certificato come tale, e quindi poter svolgere operazioni di investigazioni digitale, riguardano sia la solidità imprenditoriale ed assicurativa, sia la struttura organizzativa, sia le competenze e le qualità delle persone fisiche che materialmente svolgeranno le attività di analisi di volta in volta richieste. Tralasciando, per il momento, le caratteristiche di solidità imprenditoriale ed assicurativa del PFI – puntualmente descritte nel documento Supplement for PCI Forensic Investigator (PFIS), disponibile sul sito internet del PCI Council – è il caso di osservare come le prescrizioni dello standard richiedono anche che, sia l’organizzazione che riveste il ruolo di Forensics Investigator, sia le persone fisiche che di essa fanno parte, garantiscano adeguati requisiti di imparzialità nei confronti dell’organizzazione in favore della quale dovranno svolgere attività di investigazione. Infatti, si sancisce espressamente il divieto, pena la revoca della certificazione, di svolgere attività di investigazione in favore di entità acquirenti di prodotti o servizi erogati dal PFI o dai suoi dipendenti. Si sottolinea inoltre che una realtà che intende svolgere attività di investigazione in ambito PCI-DSS deve essere in possesso di una struttura organizzativa adeguata sotto il profilo di quanto è previsto dallo standard. Per esempio, il personale addetto a operazioni di investigazione deve essere organizzato in differenti livelli: Core Investigator, Lead Investigator e altri, corrispondenti a differenti responsabilità funzionali.
Certificazioni e competenze
Per altro, ogni persona fisica che svolga operazioni di Digital Forensics nell’ambito di una organizzazione certificata come PFI, deve poter documentare di svolgere tale attività a tempo pieno, di essere in possesso e di aggiornare almeno annualmente specifiche attestazioni relative alle proprie competenze in materia di investigazione digitale e risposta agli incidenti. Si prevede tassativamente, infatti, che gli addetti abbiano conseguito certificazioni, quali quelle rilasciate dal SANS (SysAdmin, Audit, Networking, and Security) Institute di Certified Incident Handler (GCIH) e di Certified Forensic Analyst (GCFA) o, in mancanza, abbiano svolto un minimo di tre anni di attività lavorativa nel campo della risposta agli incidenti o dell’investigazione digitale. Dal punto di vista operativo, infine, ogni organizzazione ed ogni persona fisica che intendano mantenere la qualifica di PFI devono, nell’esercizio delle rispettive attività pena la revoca della certificazione, attenersi alle rigide procedure, anche formali, previste per lo svolgimento delle attività di investigazione digitale.
Nel prossimo articolo, l’ultimo di questa mini serie dedicata all’investigazione digitale in ambito PCIDSS, ci occuperemo nello specifico delle procedure di investigazione digitale e di risposta agli incidenti, focalizzando, in particolare, la nostra attenzione sia sugli aspetti sostanziali legati alle varie tecnologie e tecniche di investigazione, sia sugli aspetti formali di documentazione delle operazioni effettuate.