Mi chiedo se si tratta di problemi di conformità PCI in relazione agli utenti di un servizio che inviano e-mail con allegati che possono o non possono contenere informazioni sensibili tramite il suddetto servizio?
Ad esempio, se dovessi registrarmi a un servizio che mi consente di generare un documento e di inviarlo a un'altra persona tramite la dashboard dei servizi web.
Se ti stai chiedendo se un provider di posta generico come Gmail presenta problemi di conformità PCI a causa di ciò che gli utenti potrebbero fare, allora no . Considera la definizione DSSv3:
PCI DSS applies to all entities involved in payment card processing—including merchants, processors, financial institutions, and service providers, as well as all other entities that store, process, or transmit cardholder data and/or sensitive authentication data.
Mentre la situazione di cui parli riguarda un caso in cui il fornitore di servizi è utilizzato per "trasmettere i dati dei titolari di carta", un provider di posta elettronica generico non è un "entit (y) coinvolto nell'elaborazione delle carte di pagamento" (almeno non poiché i clienti lo usano per inviare e-mail, potrebbe essere nella misura in cui potrebbe addebitare a tali clienti, ma questo è un problema separato).
L'individuo che invia la posta ha degli obblighi PCI perché sono i loro dati, il vettore non lo fa perché non lo è.