Etiquetado: ,

Este debate contiene 1 respuesta, tiene 2 mensajes y lo actualizó David Acosta David Acosta hace 3 años, 3 meses.

  • Autor
    Publicaciones
  • #44486
    Avatar
    postiguin
    Participante

    Hola a [email protected],

    Soy nuevo en este foro, aunque he leído varios de los artículos que se han publicado y me han parecido muy interesantes, y por eso creo que es un sitio perfecto para lanzar la siguiente duda respecto al estándar PCI Card Production: leyendo los apartados de alcance (tanto de los requerimientos de seguridad lógica como los de seguridad física), se habla siempre de los «vendor», lo que yo considero que serían, por ejemplo, empresas de estampación de tarjetas entre otras. Sin embargo, dentro de los procesos que se consideran necesarios proteger, entiendo que algunos de ellos (por ejemplo, impresión y envío del PIN) pueden en ocasiones realizarse directamente por las entidades emisoras (issuers) de tarjetas que, en el caso de España, corresponde prácticamente siempre con las propias entidades financieras.

    Por eso la duda que planteo es: ¿las entidades financieras que lleven a cabo alguno de los procesos incluidos en el estándar estarían también dentro del alcance de PCI Card Production (y por tanto, sujetas a posibles auditorías de las marcas de pago)?

    Saludos,

  • #44636
    David Acosta
    David Acosta
    Participante

    Buenas tardes:
    La respuesta a esta pregunta la puedes obtener extrapolando lo indicado en la FAQ del PCI Card Production https://www.pcisecuritystandards.org/documents/PCI_PED_Frequently_Asked_Questions_-_Card_Prod_Security_Rqrmts_FAQs_v1_1_March_2016.pdf:
    «…
    If a Chip Card manufacturer sets up a remote personalization service within an Issuer, is the Issuer facility required to be PCI Card Production compliant?
    A If a third party (vendor) sets up and operates a personalization service inside an issuer’s premises then the issuer facility is required to be approved. If the service is operated by the issuer so that only the issuer has access to card stocks, cardholder data and keys then it is not required to be approved. For further information regarding details of who is responsible for ensuring the compliance of the facility, contact the payment brand(s) of interest.
    …»
    Según esto, si un emisor (issuer) – que como bien lo dices por lo general son las propias entidades financieras – ofrece estos servicios, depende del tipo de acceso a los datos. Para el tema de cumplimiento, es indispensable contactar a las marcas, quienes internamente ya definirán los procesos de cumplimiento o no.
    Saludos,
    David

Debes estar registrado para responder a este debate.