PCI-DSS para Instituciones Financieras y Emisor

1

Aquí está el escenario: Una institución financiera subcontrató todas las actividades relacionadas con PCI-DSS. Por lo tanto (en teoría), no almacena, transmite ni procesa datos de tarjetas de crédito / débito. También emite tarjetas de débito, pero solo inicia el proceso tomando información básica del cliente. Luego, la información se reenvía a un proveedor de servicios que emite y envía la tarjeta de débito al cliente. Sin embargo, se ha requerido que la compañía sea compatible con PCI-DSS. En mi humilde opinión, PCI-DSS no ha sido 'diseñado' para funcionar para instituciones financieras. Está más centrado en los proveedores de servicios y comerciantes. De hecho, los SAQ son solo para comerciantes y proveedores de servicios. No tengo conocimiento de un SAQ para instituciones financieras.

Preguntas: 1. ¿Cómo puede esa institución financiera probar que cumple con las normas PCI-DSS? ¿Qué herramientas y procesos pueden usar teniendo en cuenta que los actuales están diseñados para comerciantes y proveedores de servicios (por ejemplo, SAQ)? 2. ¿Pueden usar el SAQ (en caso afirmativo, cuál?) Para evaluar su cumplimiento y poner N / A en los requisitos relacionados no aplicables? ¿Pueden usar el enfoque priorizado? 3. Si un requisito es N / A porque se ha subcontratado, ¿quién es el responsable de dicho requisito, la institución financiera o la empresa de subcontratación que maneja la información de la tarjeta de crédito? En otras palabras, ¿tengo razón al suponer que incluso si la institución financiera subcontrata todos los procesos de la tarjeta de crédito / débito, sigue siendo responsable de asegurarse de que la empresa de subcontratación cumple con el PCI-DSS?

Saludos

    
pregunta Tony S 05.10.2017 - 02:52
fuente

2 respuestas

2

Q1:

En primer lugar, todos deben ser compatibles con PCI-DSS. Ser compatible significa que cumple con los requisitos enumerados en las pautas de PCI-DSS. La aplicabilidad de esas pautas depende de su entorno.

La forma en que pueden probar que cumplen las normas es enumerar su alcance de operaciones y mapear los controles relevantes e irrelevantes (para los controles irrelevantes que usted menciona por qué son irrelevantes).

Q2:

No es tan simple para un FI. En general, las IF tienen un QSA asignado que revisa y decide qué es aplicable y qué no. Recuerde que hay requisitos mucho más estrictos si supera una cierta cantidad de transacciones al año.

Q3:

Simplemente decir "Estoy externalizando, por lo tanto, no es mi problema" no funcionará. Debe mostrar cómo se asegura de que su proveedor externo se adhiera a PCI-DSS (por ejemplo, exija que obtengan la certificación por sí mismos).

    
respondido por el Lucas Kauffman 05.10.2017 - 09:46
fuente
1

Como emisor de tarjetas, su requisito de cumplimiento provendrá de las reglas del esquema de la tarjeta (es decir, Visa o Mastercard). En general, conozco las reglas de Visa Europe, pero entiendo que las reglas de Mastercard son bastante similares. Así que para responder a sus preguntas específicas:

Q1. Depende de su contrato con el esquema de la tarjeta, a menudo los emisores no tienen que validar su cumplimiento con el esquema de la tarjeta (es decir, no están obligados a enviar el esquema de la tarjeta un RoC o SAQ anualmente), pero están obligados contractualmente a cumplir con las normas PCI DSS y otras normas PCI aplicables a los emisores de tarjetas. Algunos emisores eligen tener una evaluación externa anual y mantener el RoC en el archivo en caso de que el esquema de la tarjeta solicite evidencia de que el emisor cumple con los requisitos.

Q2. De nuevo depende de tu contrato con el esquema. Si la FI está totalmente subcontratada (es decir, no hay datos del titular de la tarjeta en ninguna parte de la institución), entonces podría utilizar los requisitos de SAQ-A en un RoC parcial. Hay una pregunta frecuente en el sitio web de PCI SSC sobre esto: enlace

Q3. Por lo general, el esquema de tarjeta tiene una lista aprobada de proveedores que los emisores tienen permiso para usar; debe verificar las reglas del esquema y luego su lista, por ejemplo. Visa Inc tiene un 'Programa de Procesador de Emisor Miembro'.

Sin embargo, a pesar de que un proveedor está listado por un esquema de tarjeta, usted es completamente responsable de garantizar que el tercero cumpla con PCI DSS anualmente (se aplican todos los requisitos de 12.8), y como su cumplimiento es totalmente dependiente del tercero fiesta esta es tu principal responsabilidad.

Finalmente, si se encuentra en Europa, Visa Europe ha producido una guía específica para los emisores que puede obtener de Visa Europe.

    
respondido por el withoutfire 08.10.2017 - 12:45
fuente

Lea otras preguntas en las etiquetas