Hay un banco que tiene un sistema interno que trabaja con la preparación de datos de la tarjeta, genera PAN y, finalmente, prepara los archivos de personalización que se envían al fabricante de la tarjeta de terceros.
El banco puede ver en su sistema interno todos los PAN en texto claro y no son compatibles con PCI.
¿Cuáles deberían ser los requisitos de cumplimiento de PCI para este caso de uso? ¿Puede el banco estar fuera del alcance de los requisitos de PCI?
Los bancos emisores están sujetos a un conjunto diferente de estándares que los PCI DSS. Consulte las Normas de producción de tarjetas PCI para conocer sus reglas específicas (use el menú desplegable para seleccionar Producción de tarjetas).
Sí, los bancos deben presentar un Informe de Cumplimiento y, por supuesto, podrían estar fuera de cumplimiento. Sin embargo, estar fuera de cumplimiento no significa que cierren las puertas. Su asesor necesitaría ver un plan para que cumplan con los requisitos y podrían seguir operando. Pero operar sin un ROC significa asumir un gran riesgo: están apostando fuertemente a que no tendrán una violación de datos. Si lo hacen, la carga total del fraude recaerá sobre ellos, así como las multas, sanciones y demandas colectivas de sus clientes.
Por supuesto, cualquier empresa que haya incumplido se vuelve a auditar, y los auditores que los observan después de la violación siempre encuentran alguna razón por la que no cumplieron. El PCI no parece estar dispuesto a asumir la responsabilidad de implementar un estándar débil o ineficaz, al igual que no están dispuestos a asumir su parte de la responsabilidad de haber forzado a los actuales protocolos y sistemas inseguros en las industrias bancarias y minoristas. / p>
Lea otras preguntas en las etiquetas banks credit-card pci-dss pci-scope