Standard PCI PIN zawiera wymagania dotyczące bezpieczeństwa Personal Identification Numbers (PINs)
Celem audytu PCI PIN jest sprawdzenie, czy organizacje w bezpieczny sposób zarządzają, przetwarzają i przekazują dane PIN podczas transakcji kartami w trybie online i offline.
Wymagania standardu PCI PIN muszą być spełnione przez wszystkie organizacje lub wspierające je strony trzecie, które przyjmują lub przetwarzają transakcje z bankomatów lub terminali po stronie acquirera. Dotyczy to w szczególności banków, dostawców płatności i operatorów sieci.
SC2labs świadczy usługę walidacji PCI PIN, jako wykwalifikowany audytor PCI QPA certyfikowany przez PCI Security Standards Council.
Organizacje są zobowiązane do przeprowadzania audytu prowadzonego przez audytora PCI QPA co 2 lata.
Wymagania standardu PCI PIN zorganizowane w 7 logicznie powiązanych grup, zwanych "Celami kontroli", które definiują 33 wymagania.
Control Objectives:
1. PINs used in transactions governed by these requirements are processed using equipment and methodologies that ensure they are kept secure.
2. Cryptographic keys used for PIN encryption/decryption and related key management are created using processes that ensure that it is not possible to predict any key or determine that certain keys are more probable than other keys.
3. Keys are conveyed or transmitted in a secure manner.
4. Key-loading to HSMs and POI PIN-acceptance devices is handled in a secure manner.
5. Keys are used in a manner that prevents or detects their unauthorized usage.
6. Keys are administered in a secure manner.
7. Equipment used to process PINs and keys is managed in a secure manner.
https://www.pcisecuritystandards.org/documents/PCI_PIN_Security_Requirements_Testing_v3_1.pdf?agreement=true&time=165504202466