銀行カードシステムのPCIコンプライアンス
カードデータの準備、PANの生成、最後にサードパーティのカードメーカーに送信されるパーソナライゼーションファイルの準備を処理する内部システムを持つ銀行があります。
銀行は内部システムですべてのPANをクリアテキストで確認でき、PCIに準拠していません。
そのようなユースケースのPCIコンプライアンス要件は何ですか?銀行がPCI要件の範囲外になることはありますか?
発行銀行は、PCI DSSとは異なる一連の標準に従います。特定のルールについては PCIカード生産標準 を参照してください(プルダウンを使用してカード生産を選択します)。
はい、銀行はコンプライアンスレポートを提出する必要があります。もちろん、コンプライアンス違反の可能性もあります。ただし、コンプライアンスに違反しているからといって、ドアが閉まるわけではありません。彼らの評価者は、彼らを遵守させる計画を見る必要があり、彼らは活動を続けることができます。しかし、ROCなしで運用することは、多くのリスクを引き受けることを意味します。彼らは、データ侵害がないことを強く賭けています。彼らがそうした場合、詐欺の全負担は、罰金、罰金、および顧客からの集団訴訟と同様に彼らにかかります。
もちろん、違反した会社は再監査され、違反後に彼らを見る監査人は常に、コンプライアンスに準拠していない何らかの理由を見つけます。銀行や小売業界で現在の安全でないプロトコルやシステムを強制したことに対する責任の分担を望んでいないのと同様に、PCIは弱いまたは効果のない標準を展開する責任を負う気がないようです。