Entrega de PIN: ¿los requisitos de PCI DSS impiden enviar el PIN a un teléfono móvil de usuario final?

4

¿Los requisitos de PCI DSS evitan que los procesadores envíen el PIN a los teléfonos móviles de los usuarios finales? Pasé por muchos documentos PCI, como los requisitos de seguridad PCI 2.0 y esto no se menciona. No estoy seguro de que esto se mencione en otra parte, pero me gustaría tener pruebas de ello.

    
pregunta occulti 29.11.2017 - 19:03
fuente

2 respuestas

1

Suponiendo que su pregunta es sobre emisores (no procesadores ), la emisión del PIN de la tarjeta de pago está fuera del alcance de los requisitos de PCI DSS, sin embargo, las compañías de tarjetas imponen requisitos y pautas adicionales para los emisores de tarjetas. P.ej. Las Pautas de seguridad del PIN del emisor de Visa :

  

Asegúrese de que los PIN estén protegidos durante el procesamiento, la transmisión y el almacenamiento mediante uno o más de los siguientes:

     
  • Provisión de protección física
  •   
  • Cifrado del PIN
  •   
  • Uso de HSM separados para la funcionalidad Emisor frente a Adquirente
  •   
  • Uso de un número de referencia o control encriptado para vincular indirectamente   El PIN al PAN cuando se deben transmitir los dos datos.   por separado.
  •   
  • Los emisores deben asegurarse de que su sistema de administración de PIN evita   el PIN se almacena donde se recibe mientras está bajo el emisor   responsabilidad. Los correos de PIN, mensajes SMS y correos electrónicos son vulnerables   y su contenido debe ser construido para cumplir con la Generación de PIN,   Sección de Directrices Generales.
  •   

Existen diferentes métodos para enviar un PIN a un dispositivo móvil controlado por el usuario (SMS, USSD, aplicaciones móviles, etc.) y, con cada método, las pautas de implementación son diferentes. De su pregunta no está claro qué método le molesta más exactamente, pero todos los requisitos se encuentran en el documento que he vinculado anteriormente.

    
respondido por el ximaera 28.01.2018 - 22:05
fuente
2

El almacenamiento de PIN está prohibido bajo PCI DSS, por lo que se puede asumir que la transmisión de PIN no es compatible.

    
respondido por el Mrdeep 29.11.2017 - 20:18
fuente

Lea otras preguntas en las etiquetas