¿Se requiere que el afiliado de un banco que proporciona servicios al emisor del banco demuestre el cumplimiento o la certificación de PCI DSS? Si es así, ¿cómo se hace normalmente?
¿Se requiere que el afiliado de un banco que proporciona servicios al emisor del banco demuestre el cumplimiento o la certificación de PCI DSS? Si es así, ¿cómo se hace normalmente?
Tanto Visa como Mastercard requieren que sus bancos emisores usen únicamente proveedores de servicios de terceros que cumplan con los estándares PCI relevantes. Por lo tanto, todo depende de qué servicios se proporcionan y, por lo tanto, lo que requiere el esquema de la tarjeta (porque hay más estándares PCI que solo PCI DSS).
Si el proveedor de servicios solo está haciendo cosas con los datos del titular de la tarjeta y no proporciona servicios donde se aplican otras normas de PCI (por ejemplo, personalización de la tarjeta), por lo general, el banco emisor especificará el cumplimiento de las normas PCI DSS en el contrato: una evaluación anual por parte de un QSA y proporcionar una ROC al emisor. Además, Visa (no estoy tan familiarizado con las reglas de Mastercard) requeriría que el banco registre al proveedor de servicios con Visa y el proveedor de servicios también tendría que proporcionar su RoC directamente a Visa.
Lea otras preguntas en las etiquetas banks third-party pci-dss certification