Il futuro del business inizia con gli sviluppatori

Scopri di più
Azienda Il team dietro esperienze online migliori Mappa di rete Una nuova architettura per l'Internet moderno Relazioni con gli analisti del settore Scopri cosa dicono gli analisti di settore su Fastly Notizie Aggiornamenti e annunci recenti Piattaforma La piattaforma per esperienze digitali migliori, più veloci e più sicure Storie dei nostri clienti Scopri come hanno avuto successo i migliori siti web Eventi Connettiti con Fastly durante un evento Lavora con noi Unisciti al team che sta costruendo un internet migliore

Piattaforma edge cloud di Fastly

Vedi tutti i prodotti
Distribuzione dei contenuti (CDN) Offri esperienze rapide e personalizzate a livello mondiale Streaming live Offri esperienze di live streaming senza interruzioni Streaming Video (VoD) Offri esperienze video on-demand eccezionali Media Shield Ottimizza le distribuzioni multi-CDN On-the-Fly Packager Crea pacchetti dinamici di contenuti video on demand in tempo reale Image Optimizer Elaborazione rapida delle immagini sull'edge Bilanciatore del carico Controllo granulare sulle decisioni di routing Crittografia TLS Riduci la complessità della gestione TLS Origin Connect Connettiti direttamente a Fastly Indirizzi IP Gestisci facilmente gli indirizzi IP HTTP/3 e QUIC Protocolli moderni API di ricerca dei domini Ricerca immediata e accurata dei nomi di dominio Object Storage Get direct access to large files at the edge with zero egress fees
Next-Gen WAF Modern web app and API security, anywhere Gestione dei bot Rilevare e mitigare gli attacchi dei bot Protezione DDoS Mitigazione automatizzata degli attacchi dirompenti e distribuiti Sicurezza delle API Proteggi i tuoi endpoint API Protezione lato client Difesa dagli attacchi lato client Gestione dei bot IA Impedisci ai bot IA di estrarre i contenuti dei siti web
Edge Compute Porta le tue app a livello edge: la nostra piattaforma istantanea ti aiuta a creare esperienze straordinarie per i tuoi utenti Key Value Store Il Key Value Store più veloce che puoi ottenere, con la stessa facilità di utilizzo degli strumenti di database che conosci bene WebSockets e Fanout Messaggistica in tempo reale distribuita su scala globale, con personalizzazione completa e configurazione semplice. Developer SDK Programma gli stessi servizi che utilizziamo per costruire i prodotti Fastly Enterprise Serverless La piattaforma serverless più potente, basata su standard aperti e integrata con la suite completa di prodotti Fastly IA Accelera i tuoi carichi di lavoro di IA e migliora l'efficienza con la cache semantica Object Storage Get direct access to large files at the edge with zero egress fees Cache programmabile Ottieni l'accesso programmabile completo alla stessa leggendaria cache che alimenta la nostra CDN. Server MCP Controllo potenziato dall'IA per i tuoi servizi Fastly.
Logging in tempo reale Trasmetti e analizza i log in tempo reale Edge Observer Esplora i dati sul traffico in tempo reale e storici Domain Inspector Valuta le informazioni a livello di dominio Origin Inspector Visualizza informazioni complete dall'origine all'edge Avvisi Crea notifiche per le metriche relative al servizio Log Explorer & Insights Interagisci con informazioni utili

Servizi straordinari per risultati eccezionali

Vedi tutti i servizi
Servizi professionali Assistenza specializzata per migrare o ottimizzare il tuo servizio di distribuzione Servizi di intrattenimento dal vivo Esperienze di live streaming con scalabilità per il tuo pubblico Piani di supporto Assistenza di prima classe dall'inizio alla fine Managed CDN Controllo e flessibilità ottimizzati Managed Security Protezione delle applicazioni web gestita con competenza Assistenza clienti Il supporto di Fastly ti aiuta a crescere meglio, insieme

Soluzioni digitali innovative

Scopri tutte le nostre soluzioni
Streaming media Offri live streaming e on-demand eccezionale Media emergenti Prestazioni elevate per i brand multimediali emergenti Editoria digitale Giornalismo in tempo reale con esperienze di lettura migliorate e-commerce Esperienze rapide e personalizzate su larga scala Servizi finanziari Sicurezza integrata per proteggere i dati dei clienti High tech Scala istantaneamente le tue prestazioni man mano che cresci Viaggi e ospitalità Esperienze online personalizzate per i tuoi ospiti e visitatori Istruzione online Offri esperienze di apprendimento sicure su larga scala Gaming Sostieni la prossima vittoria dei tuoi player con download di giochi ultra veloci e sicuri iGaming Offri un'esperienza di gioco veloce, sicura, senza interruzioni e coinvolgente a livello di edge
Risparmi sulle infrastrutture Ottieni una spesa cloud inferiore e più prevedibile Ottimizzazione multi-cloud Riduci la complessità e unifica le risorse cloud Fiducia dei clienti Scopri di più sulle iniziative di Fastly per la fiducia dei clienti Abilitazione della privacy Scopri come proteggere i dati dei tuoi utenti Dashboard di sostenibilità Consulta il tuo consumo di elettricità e le emissioni di gas serra per la piattaforma Fastly

Consentiamo a ogni sviluppatore di costruire esperienze incredibili

Prova Fastly gratis
Sviluppatori Costruisci qualcosa di straordinario oggi Fast Forward Creare un Internet più affidabile Strumenti di sviluppo Strumenti di sviluppo pensati per i team - con un edge in più Developer SDK Programma gli stessi servizi che utilizziamo per costruire i prodotti Fastly Comunità Unisciti agli sviluppatori di tutto il mondo Registrati Crea un account sviluppatore gratuito

Contribuisci a creare una rete Internet veloce, sicura e coinvolgente con Fastly

Perché collaborare con Fastly Aiutaci a offrire esperienze sicure, veloci e coinvolgenti Cloud Partner Scopri i vantaggi di combinare Fastly con i tuoi servizi cloud Channel Partner Migliora le tue offerte e capacità con i prodotti Fastly Partner tecnologici e di integrazione Esplora il nostro ecosistema di partner
Accesso al portale partner Accedi a tutte le tue risorse partner di Fastly Diventa un partner Migliora la tua attività rivendendo o consigliando i prodotti Fastly Trova un partner Lascia che ti aiutiamo a trovare il partner giusto per le tue esigenze

Chiedi aiuto con Fastly

Documentazione Ottieni il massimo da Fastly Libreria delle risorse Esplora schede dati, report e altro ancora Fastly Academy Apprendimento pratico con i prodotti Fastly Centro di apprendimento Scopri la tecnologia Internet Blog I nostri ultimi pensieri e idee Ricerca sulla sicurezza Maggiore sicurezza grazie alla ricerca Il punto di vista di Fastly Esplora approfondimenti di esperti e del settore
Centro di Supporto Come possiamo aiutarti? Contattaci Contattaci oggi
Back to learning center

Che cos'è la conformità PCI?

Il Payment Card Industry Data Security Standard (PCI DSS) è un insieme di Standard creati per aiutare a proteggere i dati dei titolari di carta, garantire che le transazioni con carta di credito siano gestite in modo sicuro e contribuire a ridurre il rischio di frodi o breach di dati in tutto l'ecosistema dei pagamenti. È disciplinato dal Payment Card Industry Security Standards Council (PCI SSC). 

La conformità PCI implica il rispetto di questi Standard stabiliti dal PCI SSC. 

Chi deve preoccuparsi della conformità PCI? 

Qualsiasi organizzazione che gestisce pagamenti con carta di credito o informazioni di pagamento di qualsiasi tipo, indipendentemente dalle dimensioni dell'azienda o dal numero di transazioni, deve soddisfare i requisiti di conformità al Payment Card Industry Data Security Standard . La conformità è obbligatoria affinché le principali banche e società di carte di credito accettino di collaborare con l'organizzazione. 

Risposta breve: se un'organizzazione accetta o utilizza carte di credito in qualsiasi modo, la conformità PCI è indispensabile. 

Che cosa succede se non rispetti il Payment Card Industry Data Security Standard?

Anche se il Payment Card Industry Data Security Standard non è uno Standard regolamentato dal governo, il PCI SSC può intervenire se un’organizzazione non rispetta gli Standard del Payment Card Industry Data Security Standard. La conseguenza abituale della mancata conformità è una sanzione pecuniaria: potrebbe trattarsi di sanzioni bancarie (per ogni carta rubata), del pagamento di spese legali, di costi associati a verifiche federali e così via. 

L'impatto finanziario della non conformità (fino all'enorme cifra di 500.000 $ per incidente) è spesso una minaccia sufficientemente forte da spingere le organizzazioni a prendere sul serio la conformità. Il rischio aggiuntivo che altre banche, partner e cliente perdano fiducia in un'organizzazione inadempiente è spesso un incentivo ancora più forte a rimanere conformi. 

Quali sono i 12 requisiti del Payment Card Industry Data Security Standard e come dimostrare di essere conforme

1. Costruisci e mantieni una rete sicura

Gli Standard PCI richiedono di installare e mantenere una configurazione del Firewall per proteggere i dati dei titolari di carta. Senza un Firewall correttamente funzionante e percorsi configurati correttamente, i primi livello critici della difesa della rete di un’organizzazione possono essere compromessi. 

Conformità: Per soddisfare questo requisito, un’organizzazione deve dimostrare di avere effettivamente installato tutto quanto sopra e che funzioni correttamente. Devono inoltre dimostrare di disporre delle giuste misure di test e convalida, utilizzate per garantire che siano in atto misure appropriate e che funzionino come previsto. 

2. Applica la configurazione sicura

Un’organizzazione deve assicurarsi di applicare una configurazione sicura a tutti i componenti del sistema. Le organizzazioni non dovrebbero mai usare le impostazioni predefinite fornite dal fornitore per le password di sistema o per qualsiasi altra misura di sicurezza, ma implementare invece parametri propri più robusti. 

Conformità: Le organizzazioni devono dimostrare di non operare con password o misure di sicurezza fornite da fornitori. Gli strumenti di scansione possono aiutare a identificare eventuali password “di fabbrica” non rilevate. 

3. Proteggi i dati archiviati

Le organizzazioni che raccolgono e archiviano dati dei titolari di carta devono garantire che siano adeguatamente protetti. Ciò significa crittografare tutti i dati dei titolari di carta archiviati all'interno dei sistemi esistenti. 

Conformità: molte organizzazioni possono soddisfare automaticamente questo requisito scegliendo di NON archiviare affatto i dati dei titolari di carta. Se un'organizzazione decide di memorizzarli, deve dimostrare di avere pratiche e policy di crittografia dei dati in atto. 

4. Usa la crittografia

Orgs must use strong cryptography when transmitting cardholder data over open or public networks. Any credit card information transmitted across a public network (e.g. web payments over the internet), must be encrypted. Encryption methods like TSL are often a first choice. 

Conformità: Le soluzioni di test basate su criteri possono aiutare a verificare che un'organizzazione 1) utilizzi metodo di crittografia e 2) che questi funzionino correttamente. 

5 Proteggi i sistemi e la rete dal software dannoso

Le organizzazioni devono usare programmi antivirus su tutti i sistemi interni, contribuendo a bloccare malware e virus. Il software antivirus deve essere aggiornato e deve essere sempre installata la versione più recente disponibile. 

Conformità: La prova dell’uso di software antivirus e l’ispezione per verificare l’uso della versione più recente soddisferanno questo requisito. 

6. Sviluppa e mantieni sistemi e software sicuri

L'implementazione di un solido programma AppSec, dagli strumenti alle procedure e alle risorse, può essere utile per ottenere la visione migliore e più accurata della postura di sicurezza di un'organizzazione. L'uso di una suite full di strumenti AppSec (come SAST, DAST, Pentesting) può aiutare a identificare punti deboli o vulnerabilità nel software e a garantire pratiche di codifica sicura durante tutto il ciclo di sviluppo del software. 

Conformità: l’uso di strumenti di composizione del software (SCA) può aiutare a produrre una distinta base del software (SBOM) che fornisce un elenco completo del software di un’organizzazione e delle vulnerabilità note. Un SBOM può soddisfare questo regolamento. 

7. Limita l'accesso ai componenti di sistema e ai dati dei titolari di carta

L'accesso ai dati sensibili dei titolari di carta dovrebbe essere limitato in base alla necessità di conoscerli. L'accesso dovrebbe essere molto limitato e registrato (ad es. un'organizzazione sa chi sta visualizzando questi dati e quando). La documentazione di questo accesso deve essere registrata e revisionata regolarmente per garantire che le persone giuste abbiano accesso ai dati dei titolari di carta.

Conformità: le soluzioni possono tracciare e monitorare l'accesso alle applicazioni e ai file, identificando accessi non necessari o sospetti, dimostrando al contempo un'adeguata limitazione ai soli soggetti che necessitano di accedere ai dati. 


8. Identificazione e autenticazione degli utenti

Le organizzazioni dovrebbero identificare gli utenti e autenticare il loro accesso ai componenti del sistema: ai dipendenti dovrebbe essere assegnato un ID univoco per aiutare a monitorare e tracciare accessi e attività.

Conformità: report o soluzioni che forniscono registrazioni dell’accesso degli utenti nell’intero ecosistema dell’organizzazione. La possibilità di rispondere a «chi ha avuto accesso a questa risorsa e quando?» soddisfa questo requisito. 


9. Limita l'accesso fisico ai dati

Le organizzazioni dovrebbero limitare l'accesso fisico ai dati dei titolari di carta. Ciò significa che i dati di posizione tangibili di dispositivo, edifici o qualsiasi altra posizione fisica vengono memorizzati.

Conformità: La prova delle misure di sicurezza fisica (telecamere, stanze sicure, telecamere IP) soddisfa questo requisito. 

10. logging e monitoraggio degli accessi

Le organizzazioni dovrebbero Log e monitorare tutti gli accessi ai componenti di sistema e ai dati dei titolari di carta. Questo logging dovrebbe fornire un chiaro approfondimento sul normale accesso (accettato) e segnalare eventuali accessi anomali per consentire, se necessario, indagini e interventi correttivi rapidi. Questi Log sono necessari in caso di breach. 

Conformità: Sono richieste prove di logging e monitoraggio adeguati. Questo può essere ottenuto implementando una soluzione di gestione delle informazioni e degli eventi di sicurezza (gestione delle informazioni e degli eventi di sicurezza). 


11. Test di sicurezza regolari di rete e sistemi

Le scansioni regolari delle vulnerabilità per identificare eventuali punti deboli negli ambienti di un'organizzazione dovrebbero essere una best practice. Le scansioni dovrebbero essere un evento regolare, ma sono particolarmente importanti in caso di modifiche organizzative alla rete, ai sistemi o alle applicazione. 

Conformità: prove di monitoraggio continuo, test di penetrazione, scansione delle vulnerabilità o audit regolari possono aiutare a soddisfare questo requisito. 

12. Supporto organizzativo dell'IT

Le organizzazioni devono supportare gli sforzi IT con iniziative procedurali e basate su policy in materia di sicurezza. Tutti i dipendenti dovrebbero seguire una formazione sulla sicurezza e i security champion o i team di sicurezza dedicati dovrebbero contribuire a mantenere la consapevolezza della sicurezza. Politiche chiare in materia di sicurezza, rischi e dati aziendali dovrebbero essere comunicate regolarmente. 

Conformità: Le prove di una politica di sicurezza chiaramente definita, di procedure e di team di sicurezza dedicati possono aiutare a soddisfare questo requisito. 

Che cos'è il Payment Card Industry Data Security Standard v4.0.?

L'ultimo aggiornamento ai requisiti esistenti del Payment Card Industry Data Security Standard è Payment Card Industry Data Security Standard v4.0 (con revisioni molto minori rilasciate nella v4.0.1), che richiede alle organizzazioni di essere conformi entro il 31 marzo 2025. 

Lo scopo di questo aggiornamento delle precedenti edizioni del Payment Card Industry Data Security Standard è: 

  1. Continua a soddisfare le esigenze di sicurezza del settore dei pagamenti (evolvendo con il cambiamento delle minacce alla sicurezza). 

  2. Promuovi la sicurezza come un processo continuo.

  3. Aumenta la flessibilità per le organizzazioni che utilizzano diversi metodi per raggiungere gli obiettivi di sicurezza.

  4. Migliora i metodo e le procedure di convalida.

Scopri di più su ciò che devi sapere su Payment Card Industry Data Security Standard v4.0.

Come Fastly può aiutarti con la conformità PCI


Il Next-Gen WAF di Fastly può aiutare le organizzazioni a rispettare i più recenti standard di sicurezza dei dati PCI, semplificando la conformità senza mettere a rischio la sicurezza. Il nostro Next-Gen WAF può aiutarti a soddisfare questi requisiti e offre una protezione avanzata per applicazioni web e API (WAAP) coprendo applicazioni, API e microservizi. Ma ci sono molte altre ragioni per amare il Next-Gen WAF di Fastly.

La nostra tecnologia proprietaria SmartParse sostituisce la noiosa configurazione basata su regex e consente decisioni altamente accurate, riducendo i falsi positivi rispetto ad altre soluzioni WAF. Ecco perché più del 90% dei nostri clienti gestisce il WAF in modalità di blocco "full", con la certezza di essere protetti da soggetti malevoli senza il rischio di interrompere il traffico legittimo.

Anche agli sviluppatori piace molto. Il Next-Gen WAF di Fastly si distribuisce in modo flessibile in qualsiasi ambiente e può proteggere applicazioni e API ovunque: in container, on-premise, nel cloud o sull’edge. Mentre altri WAF possono diventare ostacoli all'innovazione, la flessibilità e la precisione del Next-Gen WAF di Fastly permettono di integrarlo perfettamente in qualsiasi stack DevSecOps, semplificando la sicurezza per tutti.

La cosa migliore è che si distribuisce in appena 10 minuti, con un tempo medio per il blocco "full" di 60 minuti. Dato che la scadenza del PCI DSS si avvicina molto rapidamente, ogni minuto conta.

Cache e distribuzione conformi a PCI

La Rete di distribuzione dei contenuti di Fastly può anche aiutarti a rimanere conforme. Abbiamo progettato il servizio CDN core di Fastly tenendo conto della conformità al Payment Card Industry Data Security Standard (Payment Card Industry Data Security Standard). Con la corretta autorizzazione sul tuo account, puoi usare la variabile VCL beresp.pci di Fastly per memorizzare automaticamente nella cache i contenuti in modo da soddisfare i requisiti del Payment Card Industry Data Security Standard.

L'aggiunta della variabile beresp.pci a un oggetto impedisce la scrittura di quell'oggetto nello storage su disco non volatile sull'edge. In combinazione con front end e backend Transport Layer Security, questa funzionalità ti consente di memorizzare nella cache e trasmettere contenuti contrassegnati attraverso la rete Fastly in conformità con la nostra certificazione PCI.

Scopri di più sulle funzionalità di sicurezza di Fastly

Scopri di più

Pronto per iniziare?

Contattaci oggi
Parla con un esperto