Requisiti PCI per gestire le carte di credito fisiche in contesti non di pagamento?

Chi richiede che tu sia conforme?

PCI DSS non è una legge e nulla in PCI DSS può richiedere che tu sia conforme se non vuoi. Il solito significato quando la gente dice "X deve essere conforme allo standard PCI DSS" è che sia X che ha firmato un contratto in cui accettano di aderire a PCI DSS, o vogliono firmare un contratto di un tipo in cui ogni partner richiede che siano conformi - per esempio prendendo i pagamenti con carta di credito.

Se non vuoi essere conforme e non hai accettato di essere conforme, allora puoi palesemente violare tutte le condizioni PCI DSS con due rischi principali:

• l'industria delle carte di pagamento potrebbe non voler parlare con te, possibilmente anche in altri aspetti - ad es. se uno dei tuoi prodotti va ovviamente contro PCI DSS, potresti scoprire che non sei in grado di ricevere pagamenti con carta di credito per prodotti e servizi. Quel fornitore di terze parti conforme allo standard PCI potrebbe facilmente considerare una buona pratica rifiutare il servizio se ritengono che si stia abusando dei dati della carta di credito. Inoltre, le banche emittenti possono intraprendere azioni contro di te per impedire che le loro carte vengano utilizzate in questo modo - ad esempio, se io come istituto di emissione ho notato che "Gli utenti finali (clienti bancari) stanno inviando carte" a terze parti in numero sufficiente per garantire la loro attenzione, sarebbe una reazione adeguata e ragionevole contattare tutti i clienti che hanno avuto transazioni con te, informarli che le loro carte sono state compromesse e chiedere loro di non farlo mai più, bloccando tutte le carte coinvolte, richiedendo devono essere sostituiti e bloccare eventuali pagamenti futuri con carta come potenzialmente fraudolenti.
• se i dati dei titolari di carta vengono utilizzati in modo fraudolento, si può essere ritenuti responsabili, poiché la violazione volontaria di "standard di settore noti" può essere considerata negligenza e mettere in errore se un truffatore riesce a ottenere tali dati CC e danneggiare i clienti. A causa di ciò, è possibile che si desideri seguire almeno alcune linee guida PCI DSS, poiché includono molte best practice per la gestione sicura dei dati.

PCI DSS 3.2 afferma: "PCI DSS si applica a tutte le entità coinvolte nell'elaborazione delle carte di pagamento, inclusi commercianti, processori, acquirer, emittenti e fornitori di servizi. PCI DSS si applica anche a tutte le altre entità che archiviano, elaborano o trasmettono titolari di carte dati e / o dati sensibili di autenticazione. "

Nel sito PCI SSC è presente una sezione Domande frequenti che chiede se PCI si applica alla carta con i dati del titolare della carta e la risposta è stata: "Sì, i requisiti PCI DSS sono applicabili se un numero di conto primario (PAN) viene archiviato, elaborato o trasmesso con qualsiasi supporto, inclusi i registri cartacei I requisiti PCI DSS dalla 9,5 alla 9,8 riguardano specificamente la protezione dei supporti fisici, compresi i registri cartacei, contenenti i dati dei titolari di carta. "

Considerati quei due insieme, sembra che si applicherebbe nel caso di manipolazione dei supporti della carta di plastica. Come Jeff ha sottolineato in un commento, se non si dispone di un accordo che obbliga contrattualmente a PCI DSS, l'applicabilità diventa interessante.

Non conoscendo i particolari del processo che stai chiedendo, quello che guarderei è chiunque stia inviando le carte alla società in questione. Si tratta di un commerciante o fornitore di servizi che è obbligato a essere conforme PCI DSS? La società dovrebbe esaminare 12.8, "Mantenere e attuare politiche e procedure per gestire i fornitori di servizi con i quali i dati dei titolari di carta sono condivisi o che potrebbero influire sulla sicurezza dei dati dei titolari di carta, come segue:". Seguono sottoriquisiti che parlano di accordi scritti che riconoscono responsabilità, processi di diligenza per capire chi ha quale responsabilità in base a requisiti diversi, ecc.

Nella mia esperienza con gli audit di QSA, ciò che mi aspetto di accadere è che il QSA richiederà un elenco dal commerciante che include tutte le entità con le quali il commerciante ha condiviso i dati delle carte in qualsiasi veste. Poi avrebbero scavato in quello. Anche se la tua azienda potrebbe non avere obblighi diretti, i commercianti / fornitori di servizi con cui lavori hanno degli obblighi potrebbero trovarsi in una brutta situazione se dovessero dimostrare di sapere che eri compatibile con PCI DSS e non potevano farlo.