PCI-DSS per istituzioni finanziarie ed emittente

1

Ecco lo scenario: Un'istituzione finanziaria ha esternalizzato tutte le attività correlate a PCI-DSS. Pertanto (in teoria), non memorizza, trasmette o elabora i dati delle carte di credito / debito. Emette anche carte di debito, ma avvia solo il processo prendendo le informazioni di base del cliente. Quindi, le informazioni vengono inoltrate a un fornitore di servizi che emette e invia la carta di debito al cliente. Tuttavia, alla società è stato richiesto di essere conforme PCI-DSS. A mio modesto parere, PCI-DSS non è stato progettato per funzionare per le istituzioni finanziarie. È più focalizzato su fornitori di servizi e commercianti. Di fatto, i questionari SAQ sono solo per commercianti e fornitori di servizi. Non sono a conoscenza di un questionario SAQ per le istituzioni finanziarie.

Domande: 1. Come può l'istituto finanziario dimostrare di essere conforme allo standard PCI-DSS? Quali strumenti e processi possono utilizzare considerando che quelli attuali sono progettati per commercianti e fornitori di servizi (ad esempio SAQ)? 2. Possono utilizzare il questionario SAQ (se sì, quale?) Per valutare la loro conformità e inserire N / A sui relativi requisiti non applicabili? Possono usare l'approccio prioritario? 3. Se un requisito è N / D perché è stato esternalizzato, chi è il proprietario della responsabilità del requisito, dell'istituto finanziario o della società di outsourcing che gestisce le informazioni della carta di credito? In altre parole, ho ragione nel ritenere che anche se l'istituto finanziario esternalizza tutti i processi della carta di credito / debito, è comunque responsabile assicurarsi che la società di outsourcing sia conforme allo standard PCI-DSS?

Saluti

    
posta Tony S 05.10.2017 - 02:52
fonte

2 risposte

2

Q1:

Prima di tutto tutti devono essere conformi allo standard PCI-DSS. Essere conformi significa rispettare i requisiti elencati nelle linee guida PCI-DSS. L'applicabilità di tali linee guida dipende dal tuo ambiente.

Il modo in cui possono dimostrare di essere conformi è elencare il loro ambito di operazioni e mappare i controlli rilevanti e irrilevanti (per i controlli irrilevanti elencate perché sono irrilevanti).

Q2:

Non è così semplice per un FI. In generale, gli FI hanno un QSA assegnato a revisioni e decide cosa è applicabile e cosa no. Ricorda che ci sono requisiti molto più rigidi se superi un certo numero di transazioni all'anno.

Q3:

Dire semplicemente "Sono in outsourcing quindi non è un mio problema" non funzionerà. È necessario mostrare in che modo si garantisce che il proprio fornitore di terze parti aderisca a PCI-DSS (ad esempio, per contratto, richiede che ottengano la certificazione da sé).

    
risposta data 05.10.2017 - 09:46
fonte
1

In quanto emittente di carte, i requisiti per la conformità provengono dalle regole dello schema di carte (ad esempio Visa o Mastercard). Conosco per lo più le regole di Visa Europe ma capisco che le regole di Mastercard sono piuttosto simili. Quindi, per rispondere alle tue domande specifiche:

Q1. Dipende dal tuo contratto con lo schema delle carte, spesso gli emittenti non devono convalidare la loro conformità allo schema della carta (cioè non sono tenuti a inviare lo schema della carta di un RoC o SAQ su base annuale), ma sono contrattualmente obbligati a rispettare gli standard PCI DSS e altri standard PCI applicabili agli emittenti di carte. Alcuni emittenti scelgono di effettuare una valutazione esterna annuale e mantengono il RoC archiviato nel caso in cui lo schema della carta richieda la prova che l'emittente è conforme.

Q2. Di nuovo dipende dal tuo contratto con lo schema. Se l'FI è interamente esternalizzato (ovvero non ci sono dati di titolari di carta in nessuna parte dell'istituto), allora potrebbe utilizzare i requisiti di SAQ-A in un RoC parziale - sul sito Web PCI SSC ci sono delle domande frequenti su questo: link

Q3. In genere lo schema delle carte ha un elenco approvato di fornitori che gli emittenti possono utilizzare: dovresti controllare le regole dello schema e quindi il loro elenco, ad es. Visa Inc ha un "Programma per l'elaborazione degli emittenti membri".

Tuttavia, nonostante un provider sia elencato da uno schema di carte, hai la piena responsabilità di garantire la conformità della terza parte a PCI DSS su base annuale (si applicano tutti i 12.8 requisiti) e poiché la tua conformità dipende interamente dal terzo festa questa è la tua principale responsabilità.

Infine, se sei in Europa, Visa Europe ha prodotto una guida specifica per gli emittenti che puoi ottenere da Visa Europe.

    
risposta data 08.10.2017 - 12:45
fonte

Leggi altre domande sui tag