Tenemos una aplicación bancaria que le permite pagar sus facturas (utilizando su cuenta corriente / de ahorros), incluidas las facturas de sus tarjetas de crédito. Sin embargo, nuestro sistema se configuró de manera tal que usted ingrese el número de tarjeta de crédito por el cual pagará la factura.
¿Se requiere el cumplimiento de PCI-DSS para este sistema, incluso si sus fuentes de pago no incluyen tarjetas de crédito?
Advertencia: IANAQSA, y esto es más conjeturas de lo habitual.
Usando la lógica que usé en esta respuesta , la respuesta parecería ser no, ya que no estás "involucrado en el procesamiento de la tarjeta de pago".
Sin embargo , en su comentario a la respuesta de @ bobince, usted declara que su cliente " está diciendo que debemos ser compatibles con PCI-DSS. ¿Pueden decir eso? " Bien, Si están sujetos a PCI DSS, entonces sí. Está en línea con ( v3 ) 12.8.2:
Mantener un acuerdo por escrito que incluya un reconocimiento de que Los proveedores de servicios son responsables de la seguridad del titular de la tarjeta. datos que los proveedores de servicios poseen o almacenan, procesan o transmitir en nombre del cliente, o en la medida en que puedan impactar la seguridad del entorno de datos del titular de la tarjeta del cliente.
y 12.8.4:
Mantener un programa para monitorear el cumplimiento de PCI DSS de los proveedores de servicios estado al menos una vez al año
Ahora, parece que eres un proveedor de aplicaciones en lugar de un proveedor de servicios. Y aunque no sea una "aplicación de pago" per se, esta guía probablemente se aplique:
PCI DSS puede aplicar a proveedores de aplicaciones de pago si el proveedor almacena, procesa, o transmite datos del titular de la tarjeta, o tiene acceso a sus datos del titular de la tarjeta de los clientes (por ejemplo, en el rol de un servicio proveedor).
Hay un dicho precedente que dice esencialmente: no tiene que mantener el cumplimiento de DSS. Pero si no lo hace, entonces la carga de probar el cumplimiento de la aplicación recae sobre su cliente. Por esa razón, los clientes a menudo exigen que los proveedores de aplicaciones mantengan el cumplimiento del DSS, generalmente eligiendo no hacer negocios con proveedores que no lo harán.
El requisito para cumplir con PCI-DSS es contractual, generalmente en el acuerdo entre un comerciante que desea aceptar pagos con tarjeta y su banco adquirente, o entre un comerciante y un proveedor de servicios de pago. Si no ha firmado un acuerdo con alguien que acepte mantener el cumplimiento de PCI, no tiene ningún requisito de cumplirlo.
El objetivo de PCI DSS (Norma de Seguridad de Datos de la Industria de Tarjetas de Pago) es prevenir el fraude de tarjetas de crédito a través de su exposición. Como dijiste eso:
... nuestro sistema se configuró de manera que ingrese el número de tarjeta de crédito que Usted pagará la factura por.
Seguro que si sus clientes necesitan ingresar los números de sus tarjetas de crédito, esto aumenta la exposición al fraude a través de muchas técnicas clásicas (incluso si son fáciles de realizar por parte del lego).
No dijo si almacenó o no la tarjeta de crédito después de que el cliente la ingresó. PCI DSS se aplica solo si almacena, procesa y / o transmite datos del titular de la tarjeta. Aquí hay un enlace al sitio web del Consejo y aquí hay una sección completa en referencia rápida de PCI .
Lea otras preguntas en las etiquetas pci-dss