¿PCI DSS es aplicable a otras soluciones distintas de las que se ocupan de las tarjetas de pago?

6

Según esta cita de la sección de "aplicabilidad" de PCI DSS, no lo es:

  

El número de cuenta principal es el   factor definitorio en la aplicabilidad   de los requisitos de PCI DSS. PCI DSS   los requisitos son aplicables si un   El número de cuenta principal (PAN) es   almacenado, procesado, o transmitido. Si   PAN no se almacena, procesa o   transmitido, los requisitos de PCI DSS hacen   no se aplica.

¿Pero significa que no es aplicable en absoluto? ¿O simplemente que no estoy obligado a cumplir estos requisitos? Si quiero que mi solución (aplicación) sea segura (= para que sea reconocida como segura por grandes empresas), ¿debo implementar los requisitos de todos modos o debo invertir mi tiempo en algún otro conjunto de recomendaciones? En otras palabras, ¿el cumplimiento de PCI me otorgaría algo de crédito al vender una aplicación que no tiene que ver con tarjetas de pago o hay algún otro estándar más genérico?

    
pregunta bretik 20.06.2011 - 16:00
fuente

2 respuestas

4

El cumplimiento de PCI es una buena línea de base, no importa lo que esté tratando de proteger. Si está hablando de un entorno que tiene datos confidenciales (tarjeta de crédito, Seguro Social u otro), si trata esos datos como si fueran datos del titular de la tarjeta y sigue las normas PCI DSS, logrará un buen nivel básico de seguridad. Si se toma el tiempo para que un QSA verifique ese nivel de seguridad, entonces definitivamente tendrá pruebas creíbles de que su entorno es seguro, que puede presentar a un tercero.

Si está hablando específicamente sobre una aplicación que ha escrito y va a vender, entonces las revisiones y pruebas seguras de códigos por parte de un tercero certificado probablemente brindarán más beneficios.

    
respondido por el freb 21.06.2011 - 09:39
fuente
5

Algunos de los requisitos de PCI DSS pueden aplicarse a su situación (de hecho, es muy probable que algunos de ellos lo hagan). Sin embargo, su aplicación tendrá requisitos que son específicos de su dominio de problema y que PCI no aborda: de manera similar, PCI realizará algunos requisitos que son irrelevantes (o incluso contraproducentes) en su dominio porque son Específico para el dominio de la industria de tarjetas de pago. Recuerde que los estándares, las prácticas de la industria y las listas de verificación son un punto de inicio útil para cualquier tarea, pero que en algún momento tendrá que resolver su problema.

Respondiendo a su pregunta sobre el crédito: si está vendiendo una aplicación de manejo de ganado que cumple con las normas de PCI, me consideraría advertido de que pensaba que las vacas y las tarjetas de crédito eran lo mismo al crear su modelo de seguridad.

    
respondido por el user185 20.06.2011 - 16:32
fuente

Lea otras preguntas en las etiquetas