Suponiendo que su pregunta es sobre emisores (no procesadores ), la emisión del PIN de la tarjeta de pago está fuera del alcance de los requisitos de PCI DSS, sin embargo, las compañías de tarjetas imponen requisitos y pautas adicionales para los emisores de tarjetas. P.ej. Las Pautas de seguridad del PIN del emisor de Visa :
Asegúrese de que los PIN estén protegidos durante el procesamiento, la transmisión y el almacenamiento mediante uno o más de los siguientes:
- Provisión de protección física
- Cifrado del PIN
- Uso de HSM separados para la funcionalidad Emisor frente a Adquirente
- Uso de un número de referencia o control encriptado para vincular indirectamente
El PIN al PAN cuando se deben transmitir los dos datos.
por separado.
- Los emisores deben asegurarse de que su sistema de administración de PIN evita
el PIN se almacena donde se recibe mientras está bajo el emisor
responsabilidad. Los correos de PIN, mensajes SMS y correos electrónicos son vulnerables
y su contenido debe ser construido para cumplir con la Generación de PIN,
Sección de Directrices Generales.
Existen diferentes métodos para enviar un PIN a un dispositivo móvil controlado por el usuario (SMS, USSD, aplicaciones móviles, etc.) y, con cada método, las pautas de implementación son diferentes. De su pregunta no está claro qué método le molesta más exactamente, pero todos los requisitos se encuentran en el documento que he vinculado anteriormente.