Aquí está el escenario: Una institución financiera subcontrató todas las actividades relacionadas con PCI-DSS. Por lo tanto (en teoría), no almacena, transmite ni procesa datos de tarjetas de crédito / débito. También emite tarjetas de débito, pero solo inicia el proceso tomando información básica del cliente. Luego, la información se reenvía a un proveedor de servicios que emite y envía la tarjeta de débito al cliente. Sin embargo, se ha requerido que la compañía sea compatible con PCI-DSS. En mi humilde opinión, PCI-DSS no ha sido 'diseñado' para funcionar para instituciones financieras. Está más centrado en los proveedores de servicios y comerciantes. De hecho, los SAQ son solo para comerciantes y proveedores de servicios. No tengo conocimiento de un SAQ para instituciones financieras.
Preguntas: 1. ¿Cómo puede esa institución financiera probar que cumple con las normas PCI-DSS? ¿Qué herramientas y procesos pueden usar teniendo en cuenta que los actuales están diseñados para comerciantes y proveedores de servicios (por ejemplo, SAQ)? 2. ¿Pueden usar el SAQ (en caso afirmativo, cuál?) Para evaluar su cumplimiento y poner N / A en los requisitos relacionados no aplicables? ¿Pueden usar el enfoque priorizado? 3. Si un requisito es N / A porque se ha subcontratado, ¿quién es el responsable de dicho requisito, la institución financiera o la empresa de subcontratación que maneja la información de la tarjeta de crédito? En otras palabras, ¿tengo razón al suponer que incluso si la institución financiera subcontrata todos los procesos de la tarjeta de crédito / débito, sigue siendo responsable de asegurarse de que la empresa de subcontratación cumple con el PCI-DSS?
Saludos