Sto revisionando la nostra bomba a tempo assoluto di un sistema di elaborazione degli ordini che ci metterebbe fuori dal mercato domani siamo stati controllati per la conformità PCI. È così dilettante che fa paura.
Sto pensando di presentare un caso ai maggiori che le responsabilità di memorizzare le informazioni CC superano le convenienze di non dover chiedere nuovamente al cliente i numeri, ma so che mi verrà chiesto come fanno i venditori come Amazon e tale via con l'archiviazione delle informazioni per gli acquisti ripetuti, e non ho alcuna risposta a questo.
Quindi, in che modo i fornitori fanno come Amazon e tutti quelli che fatturano mensilmente autorizzano addebiti futuri senza archiviare informazioni come CVV, che è espressamente vietato da PCI DSS v3?
Ho letto altrove che i token possono essere creati e memorizzati al posto delle informazioni sulle strisce, ma non è il possesso di un token che rappresenta il contenuto della striscia tanto prezioso quanto le informazioni sulle strisce stesse? Chiunque sia in possesso del token potrebbe fare addebiti fraudolenti, quindi a chi importa se lo hanno o le informazioni CC / CVV effettive?
O la conversione di token è solo un modo per dire " non stiamo memorizzando l'attuale PAN / CVV " e passare i problemi di conformità normativa a chiunque l'abbia emesso?