El artículo 12.8.3 de PCI DSS requiere lo siguiente:
12.8.3 Asegúrese de que haya un proceso establecido para comprometer a los proveedores de servicios, incluida la debida diligencia adecuada antes del compromiso.
¿Qué se considera "debida diligencia debida" en este caso?
12.8.3 está escrito de manera muy ambigua, pero a lo que se reduce es que necesita examinar a su potencial proveedor de servicios. Debe tener documentación de procedimiento que muestre los procesos detrás de la verificación de un proveedor de servicios. Esa parte es bastante simple.
En cuanto a lo que debe hacer para evaluar a su potencial proveedor de servicios, es una decisión difícil. (y depende de usted determinar la mayor parte) Se deberá hacer un análisis de riesgo. Mira en la reputación de la empresa y su historia pasada. Haga preguntas difíciles relacionadas con lo que potencialmente está trabajando con el proveedor.
Realmente tendrías que hacerle esta pregunta a un abogado. No soy abogado, pero tengo entendido que el concepto es que debe hacer su mejor y más razonable esfuerzo para garantizar que cualquier proveedor de servicios que trabaje con la información cubierta por el PCI también cumpla con las normas necesarias y la proteja.
Acabamos de pasar por este proceso. En nuestro caso, la compañía que nos solicitó que completáramos estos formularios fue la que proporcionó el servicio. Les preguntamos qué significaba esto. Dijeron simplemente que necesitábamos preguntarles verbalmente si cumplían con los requisitos o consultar su sitio web ... de todos modos, se enumeran aquí ... enlace
Lea otras preguntas en las etiquetas pci-dss