Me pregunto si se trata de algún problema de cumplimiento de PCI en relación con los usuarios de un servicio que envía correos electrónicos con archivos adjuntos que pueden o no contener información confidencial a través de dicho servicio.
Como ejemplo, si tuviera que registrarme en un servicio que me permita generar un documento y lo envíe a otra persona a través del panel de control web de servicios.
Si está preguntando si un proveedor de correo electrónico genérico como gmail tiene problemas de cumplimiento de PCI debido a lo que pueden hacer los usuarios, entonces no . Considere la definición de DSSv3:
PCI DSS se aplica a todas las entidades involucradas en la tarjeta de pago procesamiento, incluidos comerciantes, procesadores, instituciones financieras, y proveedores de servicios, así como todas las demás entidades que almacenan, procesar o transmitir datos del titular de la tarjeta y / o autenticación sensible datos.
Si bien la situación de la que habla está involucrada en un caso en el que el proveedor de servicios se utiliza para "transmitir datos del titular de la tarjeta", un proveedor de correo electrónico genérico no es un "agente (y) involucrado en el procesamiento de la tarjeta de pago" (al menos no en la medida de lo posible). dado que los clientes lo utilizan para enviar correos electrónicos, puede ser en la medida en que pueda cobrar a esos clientes, pero eso es un problema aparte.
La persona que envía el correo tiene obligaciones de PCI porque son sus datos, el operador no lo hace porque no lo es.