I requisiti PCI DSS impediscono ai processori di inviare ai telefoni cellulari degli utenti finali il PIN? Ho esaminato molti documenti PCI, come i requisiti di sicurezza PCI 2.0 e questo non è menzionato. Non sono sicuro che questo sia menzionato da qualche altra parte, ma mi piacerebbe davvero avere delle prove.
Invio PIN: i requisiti PCI DSS impediscono l'invio del PIN al telefono cellulare dell'utente finale?
2 risposte
1
Supponendo che la tua domanda riguardi emittenti (non processori ), l'emissione del PIN della carta di pagamento è fuori dall'ambito dei requisiti PCI DSS, tuttavia, le società di carte impongono requisiti e linee guida aggiuntive per gli emittenti di carte. Per esempio. Norme sulla sicurezza del PIN dell'emittente :
Ensure that PINs are protected during processing, transmission and storage by one or more of the following:
- Provision of physical protection
- Encryption of the PIN
- Use of separate HSMs for Issuer vs. Acquirer functionality
- Use of an encrypted reference or control number to indirectly link the PIN to the PAN when the two items of data must be transmitted separately.
- Issuers should ensure that their PIN management system prevents the PIN from being stored wherever it is received while under issuer responsibility. PIN mailers, SMS messages and emails are vulnerable and their content should be constructed to meet the PIN Generation, General Guidelines section.
Esistono diversi metodi per inviare un PIN a un dispositivo mobile controllato dall'utente (SMS, USSD, app mobili e così via), e con ogni metodo le linee guida di implementazione sono diverse. Dalla tua domanda non è chiaro quale metodo ti infastidisce di più, ma tutti i requisiti sono presenti nel documento che ho collegato sopra.
2
La memorizzazione dei PIN è vietata in PCI DSS, pertanto è possibile presumere che la trasmissione dei PIN non sia conforme.
risposta data
29.11.2017 - 20:18
fonte
Leggi altre domande sui tag payment credit-card pci-dss compliance