Versione breve:
Il PCI-DSS non richiama esplicitamente i passi che descrivi. Tuttavia, questi sono passaggi di buon senso che sono ragionevolmente compresi da diversi requisiti PCI-DSS. Non sono affatto rari e li ho visti come requisiti per gli accordi contrattuali non-PCI-DSS da parte di terzi in un ambiente di elaborazione delle carte.
Versione lunga:
Tecnicamente , il PCI-DSS prescrive solo la sicurezza per "il sistema componenti, "non persone:
The PCI DSS security requirements apply to all system components
included in or connected to the cardholder data environment.
Detto questo, un sacco di DSS si basa su politiche che hanno un impatto su cose diverse dai componenti del sistema. I seguenti requisiti potrebbero essere ragionevolmente interpretati come affrontati dalle due misure (divieto di dati incontrollati / dispositivi di telecamere nel CDE, controllo sull'uso della carta nel CDE) che descrivi:
7.3 Ensure that security policies and operational procedures for restricting access to cardholder data are documented, in use, and
known to all affected parties.
Mentre 7.3 non dice come dovrebbero essere implementate le restrizioni , si dice che dovresti avere restrizioni sull'accesso come parte della tua politica. Il controllo del telefono / fotocamera e della carta nel CDE è una restrizione ragionevole.
9.5 Physically secure all media: Verify that procedures for protecting cardholder data include controls for physically securing all media
(including but not limited to computers, removable electronic media,
paper receipts, paper reports, and faxes).
La conservazione della carta dall'uscita dal CDE è una forma di protezione dei supporti cartacei e impedire l'accesso ai telefoni cellulari / fotocamere è il controllo dei "supporti elettronici rimovibili".
12.3 Develop usage policies for critical technologies and define proper use of these technologies. (... tablets, removable electronic
media, e-mail usage and Internet usage.)
Noterai anche che i call center spesso impediscono l'accesso a Internet e alla posta elettronica, per lo stesso motivo: sono metodi che i dipendenti possono utilizzare per ottenere i numeri di carta dall'ambiente.
Questi requisiti non sono "eccessivi", sono piuttosto standard. Possono causare problemi "reali" (ad es. Non solo inconvenienti agli umani), ad esempio, come si inviano i link per la reimpostazione della password ai dipendenti del call center che non hanno accesso all'e-mail? Come si verifica l'identità tramite callback o si imposta l'autenticazione multifactor senza token soft se non ci sono smartphone personali? Ma forniscono un vero valore di sicurezza.
Ecco perché vedrai questi requisiti come parte delle norme PCI-DSS e come parte degli accordi contrattuali.