用于金融机构和发行人的决策支持系统

Question

下面是一个场景：

一家金融机构将所有与PCI-DSS相关的活动外包出去.因此(理论上)，它不存储、传输或处理信用卡/借记卡数据。它还发行借记卡，但是，它只能通过获取基本的客户信息来启动这个过程。然后，将所述信息转发给发出并发送借记卡给客户的服务提供商。然而，该公司已被要求符合PCI标准.

在我看来，PCI并不是为金融机构“设计”的。它更侧重于服务提供者和商人。事实上，SAQ只针对商人和服务提供者。我不知道金融机构的SAQ。

问题：

1. 那家金融机构如何证明它是符合PCI-DSS的？考虑到当前的工具和流程是为商家和服务提供者(例如SAQ)设计的，它们可以使用哪些工具和流程？
2. 他们是否可以使用SAQ (如果是，哪一个？)来评估他们的遵守情况，并将N/A置于相关的不适用的要求上？他们能采用优先处理的方法吗？
3. 如果一项要求是N/A，因为它已经外包，那么谁来承担该要求、金融机构或处理信用卡信息的外包公司的责任？换句话说，我是否正确地假设，即使金融机构将所有信用卡/借记卡流程外包出去，它仍有责任确保外包公司符合PCI-DSS标准？

Answer 1

作为发卡者，您的合规要求将来自信用卡计划的规则(即Visa或Mastercard)。我主要知道维萨欧洲的规则，但我明白万事达的规则是非常相似的。因此，要回答你的具体问题：

Q1。这取决于您与卡计划的合同，通常发卡者不需要验证他们对卡计划的遵守情况(也就是说，他们不需要每年发送卡片计划RoC或SAQ )，但他们在合同上有义务遵守PCI和其他适用于发卡者的PCI标准。一些发行人选择进行年度外部评估，并将RoC保存在档案中，以防发卡计划要求发卡人提供符合要求的证据。

Q2。这又取决于你与该计划的合同。如果FI完全外包(即在机构中任何地方都没有持卡人数据)，那么它可以在部分RoC中使用SAQ-A的要求，在PCI SSC网站上有一个关于这一点的常见问题：https://pcissc.secure.force.com/faq/articles/Frequently_问_Question/Can-a-partial-PCI-DSS-assessment-be-documented-in-a-Report-on-Compliance-ROC。

Q3。通常情况下，信用卡计划有一个允许发行人使用的经批准的供应商名单--您应该检查该计划的规则，然后检查他们的列表--例如Visa公司有一个“成员发布处理器程序”。

然而，尽管供应商被卡计划列出，但您有完全的责任确保第三方每年遵守PCI DSS (适用所有12.8项要求)，而且由于您的遵从性完全依赖于第三方，这是您的主要责任。

最后，如果您在欧洲，Visa欧洲已经为发行人提供了具体的指导，您可以从Visa欧洲获得。

Answer 2

Q1：

首先，每个人都需要符合PCI标准。遵从意味着您遵守PCI准则中列出的要求。这些准则的适用性取决于您的环境。

他们能够证明他们是符合的方法是列出他们的操作范围，并映射相关的和不相关的控件(对于不相关的控件，列出它们不相关的原因)。

Q2：

对一部电影来说并不是那么简单。一般来说，FIs有一个QSA，负责审查和决定哪些是适用的，哪些不适用。请记住，如果您每年超过一定数量的事务，则有更严格的要求。

Q3：

简单地说“我在外包，所以这不是我的问题”是行不通的。您需要展示如何确保您的第三方供应商坚持PCI(例如，合同要求他们自己获得认证)。