La pregunta original pregunta si los esquemas de autenticación de Facebook, Twitter, etc. son compatibles con PCI.
La especificación de los Estándares de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (CIP) cita dos cosas distintas y distintas sobre la autenticación y es el contexto de uso lo que distingue entre los requisitos:
La Sección 8 establece que se debe asignar una identificación única a cada persona con acceso a una computadora.
Un nombre de usuario "principal" (de cualquier servicio) cumple con ese requisito (es único).
Esta sección continúa discutiendo la verificación de usuarios autorizados, que el componente de contraseña cumpliría. Así que esto cubre la "autenticación" básica (es esto lo que creemos que es) para la verificación del titular de la tarjeta.
Sin embargo, depende de qué acceso se concede. Para un instrumento de pago almacenado, para que el titular de la tarjeta realice una compra en su contra, esto sería suficiente (siempre que el almacenamiento de la estructura del instrumento de pago cumpla con los requisitos de PCI, etc.).
Sin embargo, para el "acceso remoto" al sistema de pago (generalmente), se requiere autenticación de segundo factor (por ejemplo, fuera de banda a través de voz / SMS, contraseñas de un solo uso). En este caso, Google sería compatible, por ejemplo, si su opción de devolución de llamada del número de teléfono se implementara como un medio de autenticación de segundo factor para el acceso remoto al sistema de pago. Si el número de teléfono no estuviera disponible o Facebook no implementa la autenticación de segundo factor para el acceso remoto al sistema de pago, entonces NO sería compatible.