L'affiliato di una banca che fornisce servizi all'emittente della banca è tenuto a dimostrare la conformità o la certificazione a PCI DSS? In tal caso, come viene fatto in genere?
L'affiliato di una banca che fornisce servizi all'emittente della banca è tenuto a dimostrare la conformità o la certificazione a PCI DSS? In tal caso, come viene fatto in genere?
Sia Visa che Mastercard richiedono alle proprie banche emittenti esclusivamente i fornitori di servizi di terze parti conformi agli standard PCI pertinenti. Quindi tutto dipende da quali servizi vengono forniti e quindi da ciò che richiede lo schema delle carte (perché ci sono più standard PCI che solo PCI DSS).
Se il fornitore di servizi fa solo cose con i dati dei titolari di carta e non fornisce servizi laddove si applicano altri standard PCI (ad esempio la personalizzazione delle carte), in genere la banca emittente specificherà la conformità con PCI DSS nel contratto - il fornitore di servizi dovrebbe avere una valutazione annuale del lato da parte di un QSA e fornire un ROC all'emittente. Anche Visa (non ho familiarità con le regole della Mastercard) richiederebbe alla banca di registrare il fornitore di servizi con Visa e il fornitore di servizi dovrebbe anche fornire il proprio RoC direttamente a Visa.
Leggi altre domande sui tag third-party banks pci-dss certification