Date: Thu, 14 May 2009 16:32:10 +0200: Rissone Ruggero [...] > In questo caso la > non-compliance a chi e' attribuibile e a chi sarebbe piu' > opportuno segnalare il problema ?
Il POS che emette una ricevuta con il PAN in chiaro non è PCI compliant. Detto questo, la non compliant è del merchant che lo usa (deve usare solo POS certificati PCI PED) se il POS fa parte dell'infrastruttura del merchant ed anche del gateway di pagamento o acquirer bank che fornisce il POS se si tratta di un POS collegato via ISDN, GPRS, ecc... alla banca. > In quali casi un merchant puo' non aderire ai > requisiti della PCI ? Tutti i merchant e service provider devono aderire e validare la propria conformità allo standard PCI. Non è imposto dalla legge, ma è richiesto a cascata dai brand delle carte di credito (Visa, MC, AMEX, JCB, Discover), dagli acquirer fino ai merchant. > Agli sviluppatori di portali di > e-commerce non viene richiesto di aderire a delle > specifiche tecniche prima di attivare un sistema di > pagamento con carta di credito ? Agli sviluppatori di portali di ecommerce e ai vendor di applicazioni di pagamento in generale si applica invece lo standard PA-DSS (Payment Application Data Security Standards), che ha sostituito il vecchio standard PABP di Visa. Chiunque venda applicazioni che tratano dati delle carte di ceredito per effettuare pagamenti devono certificare PA-DSS la prorpia applicazione; chiunque utilizza un'applicazione di pagamento deve utilizzare applicazioni certificate PA-DSS e deve implementarle in modo conforme allo standard PCI DSS. Poi ci sarebbe da discutere sui tempi e modi di certificazione, sulle date di scadenza e sulle multe per la non conformità. Spero sia utile, Samuele ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
