PIN配信:PCI DSS要件により、PINをエンドユーザーの携帯電話に送信できませんか?
PCI DSS要件により、プロセッサはエンドユーザーの携帯電話にPINを送信できませんか?PCIセキュリティ要件2.0など、多くのPCIドキュメントを確認しましたが、これについては言及されていません。これは他の場所で言及されていることを確認してください。
あなたの質問がissuers(processorsではない)であると仮定して、支払いカードPIN発行はPCI DSS要件の範囲外ですが、カード会社はカード発行者に追加の要件とガイドラインを課しています。例えば。 Visaの 発行者PINセキュリティガイドライン :
PINは、処理、送信、および保存中に次の1つ以上によって保護されていることを確認してください。
- 物理的保護の提供
- PINの暗号化
- 発行者と取得者の機能で別々のHSMを使用する
- 2つのデータ項目を別々に送信する必要がある場合に、暗号化された参照番号または制御番号を使用してPINをPANに間接的にリンクします。
- イシュアは、自分のPIN管理システムが、PINがイシュアの責任下で受信された場所に保存されることを確実に防止する必要があります。 PINメーラー、SMSメッセージおよび電子メールは脆弱であり、PIN生成、一般的なガイドラインのセクションに適合するようにコンテンツを作成する必要があります。
PINをユーザー制御のモバイルデバイス(SMS、USSD、モバイルアプリなど)に送信するにはさまざまな方法があり、それぞれの方法の実装ガイドラインは異なります。あなたの質問から、どの方法があなたを最も気にするのかはっきりしていませんが、私が上記にリンクしたドキュメントにはすべての要件があります。
PINの保存はPCIで禁止されていますDSS=したがって、PINの送信は準拠していないと想定できます。