クライアントのWebブラウザーがPCIに準拠している必要がないのはなぜですか？

これは、コンプライアンス標準の典型的なスコープ問題です。販売者に十分な説明責任を負わせてください。ただし、販売者の顧客がブラウザを保護していなかった場合は、すべての努力を完全に否定してください。

ただし、スコーピングに関して疑問が残るのは、商人がブラウザまたは他のアプリを使用してアクセスするCSR担当者または従業員/請負業者/コンサルタント（バックオフィス、ビジネスインテリジェンス、CRM、経理、役員など）を持っているかどうかです。支払いカードのデータ。

顧客がアクセスするのと同じ方法でカード会員データにアクセスする加盟店が選択した個人には除外があると聞きましたが、これはQSA（PCI DSS審査員）の責任です）決定する：すなわち、それは彼らの裁量です。

上記の情報が正確であることを証明するために、Gene Kimの PCI Scoping work を引用させてください。これは一連のスライドで-コンプライアンスのためのIIA（COSOを担当）GAIT-Rの使用について説明しています。 「原則」の識別と「統制」の識別（PCI DSSは重い）です。これは、古典的には「法の精神」対「法の手紙」として犯罪者に説明されています/人類の歴史以来、民事正義と法改正。

2010 07 BSidesLV PCI抵抗1cの動員 のスライド35と37では、次のことが明らかになっています。

1. カテゴリー3のデバイスはPCI DSSスコープの外側にあり、カテゴリー2と1のデバイスはPCI DSSスコープにある
2. CHDを送信し、CHDを復号化できず、ローカルの物理/仮想ネットワークセグメントを介してカテゴリ1のデバイスに接続されていないデバイスは、カテゴリ2A、2B、2C、またはカテゴリ3のデバイスと見なすことができます
3. スコープによると、顧客（または顧客とまったく同じようにCHDを送信する人）は、カテゴリ3デバイスと見なされます（したがって、PCI DSSスコープ外）。ここでのトリックは、ブラウザ（またはプロキシ、アプリケーションレイヤーゲートウェイなど）を介したCHDのキャッシュや保存など、スライド37に示されているように、CSR担当者（または他のマーチャントの従業員/請負業者/コンサルタント）が他のスコープワークフローに違反していないことを確認します。ブラウザのHTML形式のCHDオートコンプリート機能
4. 正直言って、これに答えるにはビールを借りる必要があると思う

これはすでに十分に回答されていますが、同じことを言い換えます。

PCIは法律ではありません。これは、アクワイアラー（クレジットカード会社）とマーチャントの間の契約です。これは、これを要求するために使用できる（拘束力のある）契約がないため、顧客に制限を課すことができないことを意味します。したがって、クライアントのWebブラウザーには無料パスが与えられます。

ただし、これは重要、監査対象の商人がWebブラウザーを実行しているマシンを所有している場合-たとえば、操作は、店舗で商人のコンピュータを使用する顧客によって行われます-それらははPCIスコープの一部です。リスクが低い場合は余裕がありますが、監査人がケースバイケースで決定するのはそのためです。

繰り返しになりますが、クライアントのWebブラウザがマーチャントのPCIスコープの一部ではない唯一の理由は、マーチャントがそれらを制御できないことです。可能であれば、それらはスコープの一部になります。