La conformità PCI DSS è il processo per soddisfare il Payment Card Industry Data Security Standard - attualmente la v4.0.1 - al fine di proteggere i dati dei titolari di carta in ogni sistema che li memorizza, elabora o trasmette. CyberXplore è una società di consulenza sulla sicurezza (non un QSA né un ente di certificazione) che prepara le organizzazioni all'audit tramite gap analysis guidate da consulenti senior, definizione del perimetro dell'ambiente dei dati dei titolari di carta (CDE), validazione della segmentazione e i penetration test manuali del Requisito 11 richiesti dallo standard. Mappiamo i tuoi obblighi sul SAQ o ROC corretto, costruiamo le evidenze che il tuo assessor si aspetta e coordiniamo le scansioni ASV trimestrali tramite partner approvati PCI.
PCI DSS v4.0PCI SSCOWASPPTESNIST
Perché CyberXplore
Solo tester senior (OSCP, CRTP, CREST)
Certificazione ISO 27001 & ISO 9001
Retest gratuito + lettera di attestazione
Scope e preventivo su misura in 24 ore
Perché è importante
La non conformità comporta sanzioni della banca acquirer, commissioni di transazione più elevate e - dopo una violazione - la perdita della capacità stessa di accettare pagamenti con carta.
PCI DSS v4.0 ha introdotto requisiti a data differita diventati obbligatori il 31 marzo 2025, tra cui analisi mirate del rischio, autenticazione estesa e uno scoping più rigoroso che coglie di sorpresa molti merchant.
Definire in modo errato il perimetro dell'ambiente dei dati dei titolari di carta è l'errore più comune e costoso: troppo ristretto e non superi l'assessment, troppo ampio e spendi troppo in controlli per sistemi che non toccano mai i dati delle carte.
Il Requisito 11 impone penetration test interni ed esterni oltre ai test di segmentazione; test deboli o 'da spuntare' lasciano percorsi realmente sfruttabili verso il CDE che un assessor - o un attaccante - troverà.
Allineato agli standard di settore: PCI DSS v4.0 · PCI SSC · OWASP · PTES · NIST
La nostra metodologia
01
Scoping e Gap Analysis
Confermiamo il tuo merchant level, determiniamo se ti serve un SAQ (e quale tipo) o un Report on Compliance completo, quindi mappiamo l'ambiente dei dati dei titolari di carta - ogni sistema, flusso e componente connesso che memorizza, elabora o trasmette i dati delle carte - e lo valutiamo rispetto a tutti i 12 requisiti di PCI DSS v4.0.
02
Revisione della Segmentazione
Validiamo la segmentazione di rete che isola il tuo CDE dal resto della rete aziendale, identificando i rischi di rete piatta e riducendo il perimetro (e i costi) dell'assessment confermando che i sistemi fuori perimetro siano davvero isolati.
03
Penetration Testing del Requisito 11
I nostri tester qualificati OSCP e CREST eseguono i penetration test interni ed esterni richiesti dal Requisito 11.4, oltre al penetration test della segmentazione (11.4.5) per dimostrare che i controlli di isolamento non possano essere aggirati - il tutto svolto manualmente, non solo con scansioni.
04
Scansioni ASV e Gestione delle Vulnerabilità
Coordiniamo le scansioni esterne trimestrali delle vulnerabilità richieste dal Requisito 11.3.2 tramite un partner Approved Scanning Vendor del PCI SSC, ti aiutiamo a interpretare i risultati e costruiamo un ciclo sostenibile di remediation e nuova scansione.
05
Evidenze, Remediation e Supporto all'Audit
Compiliamo le policy, le configurazioni, le analisi mirate del rischio e i risultati dei test richiesti dal tuo QSA o acquirer, guidiamo la remediation di ogni gap e ti supportiamo durante l'attestazione SAQ o l'assessment ROC guidato dal QSA.
Cosa testiamo
Individuazione dell'ambiente dei dati dei titolari di carta (CDE), mappatura dei flussi di dati e definizione del perimetro
Determinazione del livello di merchant/service provider e selezione del percorso SAQ o ROC
Gap analysis rispetto a tutti i 12 requisiti di PCI DSS v4.0 (approccio definito e personalizzato)
Revisione della segmentazione di rete e penetration test della segmentazione (Req. 11.4.5)
Penetration test interni ed esterni secondo il Requisito 11.4
Coordinamento delle scansioni ASV esterne trimestrali (Req. 11.3.2) tramite vendor approvato
Scansione interna delle vulnerabilità e revisione autenticata delle configurazioni (Req. 11.3.1)
Analisi mirate del rischio, configurazione sicura, logging e revisione del controllo degli accessi
Preparazione del pacchetto di policy, procedure ed evidenze per l'assessment
Verifica di readiness pre-assessment e supporto nel rapporto con QSA / acquirer
Cosa ottieni
Documento di perimetro CDE con diagrammi annotati dei flussi dei dati dei titolari di carta
Report di gap analysis prioritizzato e mappato su ciascun requisito di PCI DSS v4.0
Report del penetration test del Requisito 11 con risultati, evidenze e severità CVSS
Risultati dei test di segmentazione che confermano l'isolamento del CDE
Roadmap di remediation con indicazioni pronte per sviluppatori e ingegneri
Retest di remediation gratuito e lettera di attestazione del penetration test
Pacchetto di evidenze pronto per l'audit a supporto del tuo SAQ o ROC guidato dal QSA
Esempio di deliverable
Cosa vedrai nel tuo report
Ogni engagement si conclude con un report chiaro e prioritizzato: finding classificati per severità con punteggi CVSS, asset coinvolti e stato di remediation - più un retest gratuito. I dati riportati di seguito sono illustrativi.
Finding per severità
14 total
Critical
0
High
4
Medium
6
Low
4
High · CVSS 7.6CX-1602
MFA not enforced for all CDE admin access
PCI 8.4.2Cardholder Data EnvironmentOpen
High · CVSS 7.4CX-1608
PAN not rendered unreadable at rest
PCI 3.5.1Payments databaseOpen
Esempio illustrativo: pci dss gap assessment - anonimizzato su example.com.
Medium · CVSS 5.5CX-1614
Audit logs not reviewed daily
PCI 10.4.1CDE systemsOpen
Vuoi il report di esempio anonimizzato completo? Lo includeremo nel tuo preventivo.
Dati cumulativi sull'insieme degli incarichi svolti dal nostro team
Condiviso sotto NDA · dettagli anonimizzati
“Senior testers, fast turnaround, and a free retest that actually proved our fixes worked. They made our SOC 2 audit painless.”
SOC 2 passed first attempt
VE
VP of Engineering
Series B FinTech · Payments platform
FinTech
Certificazioni dei nostri tester
OSCP
CRTP
CREST
CEH
eWPTX
ISO 27001
ISO 9001
Domande frequenti
No - siamo una società di consulenza sulla sicurezza, non un Qualified Security Assessor né un ente di certificazione. Ti prepariamo all'audit: eseguiamo la gap analysis, la revisione della segmentazione e il penetration test del Requisito 11, e prepariamo le tue evidenze affinché l'autovalutazione (SAQ) o il Report on Compliance (ROC) guidato dal QSA proceda senza intoppi. Per le scansioni ASV collaboriamo con un Approved Scanning Vendor del PCI SSC.