Abbiamo un'applicazione bancaria che ti consente di pagare le bollette (usando il tuo conto di risparmio / controllo) - comprese le fatture della tua carta di credito. Tuttavia, il nostro sistema è stato impostato in modo tale che tu inserisca il numero della carta di credito per cui pagherai la fattura.
È richiesta la conformità PCI-DSS per questo sistema anche se le tue origini di pagamento non includono le carte di credito?
Caveat: IANAQSA, e questo è più congetture del solito.
Utilizzando la logica che ho usato in questa risposta , la risposta sembra essere no, in quanto non sei "coinvolto nell'elaborazione delle carte di pagamento".
Tuttavia , nel tuo commento alla risposta di @ bobince tu affermi che il tuo client " sta dicendo che dobbiamo essere conformi allo standard PCI-DSS. Possono rivendicare tale? " Bene, se sono soggetti a PCI DSS, allora si. È in linea con ( v3 ) 12.8.2:
Maintain a written agreement that includes an acknowledgement that the service providers are responsible for the security of cardholder data the service providers possess or otherwise store, process or transmit on behalf of the customer, or to the extent that they could impact the security of the customer’s cardholder data environment.
e 12.8.4:
Maintain a program to monitor service providers’ PCI DSS compliance status at least annually
Ora, sembra che tu sia un fornitore di applicazioni piuttosto che un fornitore di servizi. E anche se non sei una "domanda di pagamento" di per sé, questa guida probabilmente si applica:
PCI DSS may apply to payment application vendors if the vendor stores, processes, or transmits cardholder data, or has access to their customers’ cardholder data (for example, in the role of a service provider).
C'è un precedente che dice, in sostanza: non devi mantenere la conformità DSS. Ma se non lo fai, l'onere di dimostrare la conformità dell'app ricade sul tuo cliente. Per questo motivo, i clienti spesso richiedono che i fornitori di applicazioni mantengano la conformità DSS, di solito scegliendo di non fare affari con fornitori che non lo faranno.
L'obbligo di rispettare PCI-DSS è contrattuale, in genere nell'accordo tra un commerciante che desidera accettare pagamenti con carta e la sua banca acquirente, o tra un commerciante e un fornitore di servizi di pagamento. Se non hai firmato un accordo con chiunque accetti di mantenere la conformità PCI, non hai alcun obbligo di rispettarlo.
L'obiettivo di PCI DSS (Payment Card Industry Data Security Standard) è quello di prevenire le frodi con carta di credito attraverso la sua esposizione. Dal momento che hai detto questo:
...our system was set up such that you enter the credit card number that you will be paying the bill for.
Sicuramente se i tuoi clienti devono inserire i loro numeri di carta di credito, questo aumenta l'esposizione alla frode tramite molte tecniche classiche (anche se sono difficili da interpretare da parte dei profani).
Non hai detto se conservi o meno il numero della carta di credito dopo che il cliente l'ha inserito. PCI DSS si applica solo se archivi, elabori e / o trasmetti i dati di titolari di carta. Ecco un link al sito web del Consiglio del PCI e qui c'è un'intera sezione su Riferimento rapido PCI .
Leggi altre domande sui tag pci-dss