¿Requisitos de PCI para manejar tarjetas de crédito físicas en contextos sin pago?

¿Quién requiere que cumplas?

PCI DSS no es una ley, y nada en el PCI DSS puede requerir que usted cumpla con las normas si no lo desea. El significado habitual cuando la gente dice que "X debe ser compatible con PCI DSS" es que X ha firmado un contrato en el que acuerdan cumplir con PCI DSS, o quiere firmar un contrato de un tipo en el que todos los socios requerirán que cumplan - p.ej Tomando pagos con tarjeta de crédito.

Si no desea ser compatible y no ha aceptado hacerlo, puede violar flagrantemente todas las condiciones de PCI DSS con dos riesgos principales:

• es posible que la industria de las tarjetas de pago no quiera hablar con usted, posiblemente también en otros aspectos, por ejemplo, Si uno de sus productos obviamente va en contra de PCI DSS, entonces puede descubrir que no puede recibir pagos con tarjeta de crédito por ningún producto o servicio. Ese proveedor externo que cumple con PCI podría considerar fácilmente una buena práctica rechazar el servicio si cree que está haciendo un mal uso de los datos de la tarjeta de crédito. Además, los bancos emisores pueden tomar medidas contra usted para evitar que sus tarjetas se utilicen de tal manera, por ejemplo, si como institución emisora noté que "los usuarios finales (clientes del banco) están enviando tarjetas" a un tercero en cantidad suficiente para justificar su atención, entonces sería una reacción adecuada y razonable contactar a todos los clientes que tuvieron transacciones con usted, notificarles que sus tarjetas se vieron comprometidas al hacer esto y pedirles que no vuelvan a hacerlo nunca más, bloqueando todas las tarjetas involucradas, requiriendo para ser reemplazados, y bloquear cualquier pago futuro con su tarjeta como potencialmente fraudulento.
• si los datos del titular de la tarjeta se utilizan de manera fraudulenta, es posible que se lo considere responsable, ya que violar a sabiendas los "estándares industriales bien conocidos" puede considerarse negligencia y culparlo si algún estafador logra obtener los datos de CC y perjudica a sus clientes. Debido a esto, es posible que desee seguir al menos algunas de las pautas de PCI DSS, ya que incluyen muchas de las mejores prácticas para el manejo seguro de los datos.

PCI DSS 3.2 dice: "PCI DSS se aplica a todas las entidades involucradas en el procesamiento de tarjetas de pago, incluidos comerciantes, procesadores, adquirentes, emisores y proveedores de servicios. PCI DSS también se aplica a todas las demás entidades que almacenan, procesan o transmiten al titular de la tarjeta datos y / o datos confidenciales de autenticación ".

Hay una pregunta frecuente en el sitio del SSC de PCI que pregunta si el PCI se aplica al papel con datos del titular de la tarjeta y la respuesta fue: "Sí, los requisitos de PCI DSS son aplicables si se almacena, procesa o transmite un Número de cuenta principal (PAN)" por cualquier medio, incluidos los registros en papel. Los requisitos de las PCI DSS 9.5 a 9.8 abordan específicamente la protección de los medios físicos, incluidos los registros en papel, que contienen datos del titular de la tarjeta ".

Dados esos dos juntos, parece que se aplicaría en el caso de manejar los medios de la tarjeta de plástico. Como Jeff señaló en un comentario, si no tiene un acuerdo que lo obligue contractualmente a PCI DSS, la aplicabilidad se vuelve interesante.

Al no conocer los detalles del proceso que está preguntando, lo que vería es quién envía las tarjetas a la compañía en cuestión. ¿Son un comerciante o proveedor de servicios que está obligado a ser compatible con PCI DSS? Esa compañía debería consultar 12.8, "Mantener e implementar políticas y procedimientos para administrar los proveedores de servicios con los que se comparten los datos del titular de la tarjeta, o que podrían afectar la seguridad de los datos del titular de la tarjeta, de la siguiente manera:". A esto le siguen subrequisitos que hablan sobre acuerdos escritos que reconocen responsabilidad, procesos de diligencia para entender quién tiene qué responsabilidad en diferentes requisitos, etc.

En mi experiencia con las auditorías de QSA, lo que esperaría que sucediera es que el QSA solicitaría una lista del comerciante que incluyera todas las entidades con las cuales el comerciante compartió los datos de la tarjeta en cualquier capacidad. Entonces ellos se enterrarían en eso. Si bien es posible que su empresa no tenga ninguna obligación directa, los comerciantes / proveedores de servicios con los que trabaja que tienen obligaciones podrían estar en una mala situación si tuvieran que mostrar pruebas de que sabían que usted era compatible con PCI DSS y no podían.