Supponendo che la tua domanda riguardi emittenti (non processori ), l'emissione del PIN della carta di pagamento è fuori dall'ambito dei requisiti PCI DSS, tuttavia, le società di carte impongono requisiti e linee guida aggiuntive per gli emittenti di carte. Per esempio. Norme sulla sicurezza del PIN dell'emittente :
Ensure that PINs are protected during processing, transmission and storage by one or more of the following:
- Provision of physical protection
- Encryption of the PIN
- Use of separate HSMs for Issuer vs. Acquirer functionality
- Use of an encrypted reference or control number to indirectly link
the PIN to the PAN when the two items of data must be transmitted
separately.
- Issuers should ensure that their PIN management system prevents
the PIN from being stored wherever it is received while under issuer
responsibility. PIN mailers, SMS messages and emails are vulnerable
and their content should be constructed to meet the PIN Generation,
General Guidelines section.
Esistono diversi metodi per inviare un PIN a un dispositivo mobile controllato dall'utente (SMS, USSD, app mobili e così via), e con ogni metodo le linee guida di implementazione sono diverse. Dalla tua domanda non è chiaro quale metodo ti infastidisce di più, ma tutti i requisiti sono presenti nel documento che ho collegato sopra.