外包PCI数据:可以吗?
我工作的组织坚持PCI遵从作为商人(我们填写SAQ).同时,由于文件/付款验证过程,我们要求我们的客户照片,他们的信用卡/借记卡-当然,与适当的数字隐藏。
现在,我们希望将这项功能外包给另一家公司,该公司只负责文件验证,并将卡片的图片和卡片上的数据发送给我们--同样,可以根据PCI (ocr识别)查看的信息:
- 到期日/发行日期
- 前六位盘数
- 最后4个盘数位数
- 持卡人姓名
我们已经与他们签署了一份DPA协议,并同意如果他们收到一张未蒙面卡,他们将坚决拒绝并通知我们,以便我们能够与客户联系相应的通知。所有这些通信都将通过加密的通信通道进行。
他们不是支付服务提供者,他们只是提供一个文件验证机制(其中一个文件是蒙面信用卡/借记卡)。
所以我的问题是,我们能按照PCI来做吗?
回答 1
Security用户
发布于 2019-04-13 13:53:26
我们已经深入到这里的地区
所以我的问题是,我们能按照PCI来做吗?
这可能违反第2f部分纳入SAQ D的PCI DSS第12.8节。(呼呼-快说五遍)。
第2f部分是您的第三方服务提供商的列表,并声明:
注:要求12.8适用于本清单中的所有实体。
§12.8是关于你必须对服务提供者所做的努力,第12.8.4节指出:
是否至少每年一次维护一个程序来监测服务提供商的PCI遵守情况?
现在,正如你所说的:
他们不是支付服务提供者。
它们很可能不符合第12.8节的规定。特别是当您与他们的关系明确地描述了处理意外PAN的过程时,我不认为您不能将此角色视为已批准的服务提供商的角色。
现在,一个QSA可能会发现一个允许的异常,因为它处理的是异常情况,并且数据打算被掩盖。SAQ甚至没有一个“是的,我使用第三方服务提供商,但他们失败了第12.8节”的复选框,所以我不知道如果您正在使用SAQ路径,您将如何使用您的处理器来探索这个问题。
https://security.stackexchange.com/questions/207330
复制相似问题
腾讯云开发者
