C'è una banca che ha un sistema interno che lavora con la preparazione dei dati delle carte, che genera PAN e infine prepara i file di personalizzazione che vengono inviati al produttore di schede di terze parti.
La banca può vedere nel proprio sistema interno tutti i PAN in chiaro e non sono conformi allo standard PCI.
Quali dovrebbero essere i requisiti di conformità PCI per tale caso d'uso? La banca può essere al di fuori dei limiti dei requisiti PCI?
Le banche emittenti sono soggette a un diverso insieme di standard rispetto allo standard PCI DSS. Consulta gli standard di produzione delle schede PCI per le loro regole specifiche (usa il menu a discesa per selezionare Produzione schede).
Sì, le banche sono tenute a presentare un rapporto di conformità e, ovviamente, potrebbero non essere conformi. Essere fuori controllo non significa che chiudano le porte, però. Il loro valutatore avrebbe bisogno di vedere un piano per renderli conformi e potrebbero continuare a funzionare. Ma operare senza un ROC significa correre un sacco di rischi: stanno scommettendo pesantemente che non avranno una violazione dei dati. Se lo fanno, il peso totale delle frodi ricadrà su di loro, così come multe, sanzioni e azioni legali collettive da parte dei loro clienti.
Ovviamente, qualsiasi azienda che viene violata viene sottoposta a nuova verifica e gli auditor che li guardano dopo la violazione trovano sempre qualche motivo per cui non sono stati conformi. Il PCI non sembra intenzionato ad assumersi la responsabilità di implementare uno standard debole o inefficace, così come non è disposto a detenere la propria parte di responsabilità per aver forzato gli attuali protocolli e sistemi insicuri nei settori bancario e al dettaglio. / p>
Leggi altre domande sui tag banks credit-card pci-dss pci-scope