PCI-DSS Forensics Investigation

PCI-DSS Forensics Investigation

Sicurezza nei pagamenti con carte di credito e investigazione digitale, alla scoperta di un metodo e di un’opportunità, e uno standard giunto ormai alla sua terza revisione.

È del tutto evidente che il pagamento ‘a mezzo carta di credito’ implichi la dematerializzazione del denaro, come mezzo fisico di rappresentazione del valore, cosa che potrebbe in parte avvenire anche con l’impiego, di assegni o bonifici bancari, ma è altrettanto evidente anche il fatto che attraverso gli strumenti elettronici di elaborazione e interconnessione delle informazioni impiegati dai sistemi di ‘card payment’ il denaro, o meglio la sua rappresentazione digitale, possa circolare istantaneamente senza più confini di spazio e di tempo. La specifica attenzione alla sicurezza informatica, o meglio alla sicurezza delle informazioni, ha portato i soggetti che gestiscono il sistema dei pagamenti a mezzo di carte di credito a dare vita nel 2006 al consorzio Payment Card Industry Council, con la missione strategica di realizzare, e mantenere, la standardizzazione delle procedure di transazione elettronica dei pagamenti e della relativa sicurezza. In tale ambito il PCI Council cui hanno aderito i principali brand del circuito di pagamento a mezzo carta ovvero American Express, Discover, JCB International, MasterCard e Visa Inc. ha strutturato e diffuso uno standard molto specifico, e articolato in puntuali sotto-standard, ‘ad obbligatorietà contrattualmente imposta’ riservato a questo tipo di operazioni. Standard ormai giunto alla sua terza revisione e comunemente identificato con l’acronimo PCI-DSS, ovvero Payment Card Industry Data Security Standard. Secondo noi, da un punto di vista generale, l’adesione anche solo volontaria agli standard in materia di sicurezza delle informazioni, tra i quali il PCI-DSS, ha il pregio di inserire il tema ‘giuridico’ di ‘elaborazione coerente’ nelle dinamiche organizzative di costruzione di un modello efficace di gestione della sicurezza delle informazioni. Soprattutto nell’ottica e nei termini di creazione e conservazione nel tempo del dato digitale destinato ad assurgere eventualmente al rango di prova in un contesto giudiziario.

Pronti a tutto… Anche al Tribunale
Un approccio alla gestione della sicurezza che preveda la possibilità di presentare evidenze e fatti concreti in un eventuale procedimento giudiziale (in gergo da avvocati si potrebbe dire ‘approccio procedimentalizzato’) si desume con estrema facilitá, dalla semplice lettura della formulazione dell’art. 32 lett. b) del nuovo Regolamento Comunitario in materia di protezione dei dati personali, recentemente approvato dal Parlamento Europeo e di prossima promulgazione nella G.U. dell’Unione Europea. Questa infatti impone di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di pagamento integrando, in una norma cogente, la definizione di sicurezza delle informazioni contenuta, per esempio nello standard ISO 27001:2013. Nella stessa direzione va la successiva lettera d) della norma da ultimo citata che prevede espressamente “per il Titolare e per il Responsabile del trattamento, l’obbligo di adottare una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”. Con questa norma il legislatore europeo vuole sottolineare, in altre parole, quanto sia importante, anche e soprattutto da un punto di vista legale, che l’applicazione di processi e strumenti di gestione della sicurezza delle informazioni, pur continuando a dover essere incentrata sul momento della prevenzione del verificarsi di effetti indesiderati sui sistemi di elaborazione delle informazioni di un’organizzazione, non possa prescindere dal prendere in considerazione, in modo consono, processi di reazione adeguata alle situazioni per così dire patologiche, relative al concretizzarsi di rischi, predisponendo misure di risposta pertinenti. In questo scenario diventa quindi fondamentale l’implementazione di puntuali prescrizioni organizzative e il ricorso a specifici strumenti logici di audit log e log management diretti a far confluire il tema della digital forensics nell’ambito del c.d. ‘incident response’. Agendo in questo modo si otterrà il risultato, da un lato di creare, ab origine, evidenze digitali integre, da utilizzare in contesti giudiziari, all’interno di processi aziendali e conoscenze adeguate alla loro gestione. Dall’altro, di estendere il perimetro aziendale della sicurezza delle informazioni sino all’impiego giudiziario delle evidenze digitali, la cui previa realizzazione è stata progettata ed ottenuta. Un tale approccio, per altro, è già stato adottato e sviluppato nel documento, ‘Special Publication 800-86 Guide to Integrating Forensic Techniques into Incident Response’ dell’agenzia federale USA National Institute of Standards and Technology.

Dal fatto alla ‘prova’
Alla luce delle considerazione svolte, conviene a questo punto osservare che, per ora, in via di prima approssimazione, possiamo pensare alla digital forensics come a quella recente disciplina scientifica che si prefigge prima di tutto il compito di individuare evidenze digitali, intese come informazioni giuridicamente rilevanti, memorizzate in forma di registrazione binaria all’interno di un sistema elettronico di elaborazione, al fine della loro successiva utilizzabilità in un giudizio o, prima di esso se del caso, nelle attività dirette all’accertamento di un fatto, digitalmente avvenuto, al fine per esempio della proposizione di una denuncia all’autorità giudiziaria. Rinviando il relativo approfondimento al prossimo numero, data la sua complessità oggettiva, è utile ora illustrare in breve i contenuti dello Standard PCI-DSS, in particolare quelli inerenti allo svolgimento di operazioni di investigazione digitale. In linea generale lo standard PCI-DSS che aggrega complessivamente anche alcuni altri standard specifici, relativi, solo per citarne alcuni, ai dispositivi (ATM) ed alle applicazioni (PADSS) si compone di sei macro aree così denominate: sviluppo e gestione di sistemi e reti sicure; protezione dei dati dei titolari di carta; utilizzazione di un programma per la gestione delle vulnerabilità; implementazione di rigide misure di controllo dell’accesso; monitoraggio e test delle reti regolari; e ,infine, gestione di una politica di sicurezza delle informazioni. Come si può constatare dal semplice esame dei contenuti delle macroaree che caratterizzano lo standard, esso, non contempla soltanto l’adozione di misure tecnologiche di difesa passiva delle informazioni relative ai pagamenti con carta di credito, ma, nel prevedere processi e operazioni di logging e monitoraggio degli accessi effettuati, mira a precostituire, in favore dell’organizzazione stessa, specifiche ‘prove’ relative agli eventi verificatisi all’interno dei suoi sistemi informativi.

Nel prossimo articolo, declineremo puntualmente le previsioni contenute nelle prescrizioni e nelle procedure previste in ambiente PCI-DSS (Payment Card Industry Data Security Standard) relative al ruolo e alla funzione dei soggetti che, in base alle regole dello standard, sono abilitati a svolgere operazioni di investigazione digitale. Si tratta dei PFI o PCI Forensic Investigator.