Ecco lo scenario: Un'istituzione finanziaria ha esternalizzato tutte le attività correlate a PCI-DSS. Pertanto (in teoria), non memorizza, trasmette o elabora i dati delle carte di credito / debito. Emette anche carte di debito, ma avvia solo il processo prendendo le informazioni di base del cliente. Quindi, le informazioni vengono inoltrate a un fornitore di servizi che emette e invia la carta di debito al cliente. Tuttavia, alla società è stato richiesto di essere conforme PCI-DSS. A mio modesto parere, PCI-DSS non è stato progettato per funzionare per le istituzioni finanziarie. È più focalizzato su fornitori di servizi e commercianti. Di fatto, i questionari SAQ sono solo per commercianti e fornitori di servizi. Non sono a conoscenza di un questionario SAQ per le istituzioni finanziarie.
Domande: 1. Come può l'istituto finanziario dimostrare di essere conforme allo standard PCI-DSS? Quali strumenti e processi possono utilizzare considerando che quelli attuali sono progettati per commercianti e fornitori di servizi (ad esempio SAQ)? 2. Possono utilizzare il questionario SAQ (se sì, quale?) Per valutare la loro conformità e inserire N / A sui relativi requisiti non applicabili? Possono usare l'approccio prioritario? 3. Se un requisito è N / D perché è stato esternalizzato, chi è il proprietario della responsabilità del requisito, dell'istituto finanziario o della società di outsourcing che gestisce le informazioni della carta di credito? In altre parole, ho ragione nel ritenere che anche se l'istituto finanziario esternalizza tutti i processi della carta di credito / debito, è comunque responsabile assicurarsi che la società di outsourcing sia conforme allo standard PCI-DSS?
Saluti