Основные заботы, связанные с сохранением PAN, обоснованы тем, что с использованием скомпрометированных реквизитов проводятся мошеннические МО/ТО транзакции.

Отсюда вопрос: если документированная политика банка-эмитента ЗАПРЕЩАЕТ транзакции такого типа для, например, всех своих BIN'ов, то возможно ли снижение требований по защите соответствующих PAN'ов? Или даже полное их снятие?

То ли вопрос глупый, то ли наоборот - заковыристый :)

Цитата:

Основные заботы, связанные с сохранением PAN, обоснованы тем, что с использованием скомпрометированных реквизитов проводятся мошеннические МО/ТО транзакции. Отсюда вопрос: если документированная политика банка-эмитента ЗАПРЕЩАЕТ транзакции такого типа для, например, всех своих BIN'ов, то возможно ли снижение требований по защите соответствующих PAN'ов? Или даже полное их снятие?

Вопрос довольно часто задают на самом деле - т.е. если риск снижен, можно ли требование не выполнять..
Нужно понимать что стандарт писался из расчета того что у компании в основном будут чужие карты а не свои в транзакциях пролетать. Т.е для всех чужих карт требования выполнять надо.

Для ваших собственных BIN в тех системах где только они и обрабатываются и хранятся а чужие туда в принципе попасть не могут) можно по идее реализовать компенсационные меры (т.е. не снизить трбеования а понизить исходный риск другим способом) , и ограничение MO/TO будет в их числе. Но при этом эти системы под аудит сейчас и так не будут попадать - см. http://www.pcisecurity.ru/blog/post/72/ , так как эти системы явно будут относиться к выпуску карт а не к процессингу.

Максим, спасибо за обстоятельный ответ. Вопрос интересовал именно в части своих PAN'ов и именно в свете запрещённых CNP-транзакций.

P.S.: А Вы в своём профиле наверное неспециально написали ИНФОМЗАЩИТА :)

Спасибо, поправил ошибку:)

Я бы на самом деле на вашем месте для очистки совести спросил бы тоже самое в МПС и в PCI SSC.