Come conservare i dati della carta di credito per le transazioni ripetute ed essere ancora conforme PCI?

Ivan, questo è un argomento assolutamente enorme . E tu hai un sacco di domande qui. Cercherò di aiutare ma questo sarà probabilmente chiuso come troppo ampio.

I'm planning on making a case to the higher-ups that the liabilities of storing CC information outweigh the conveniences of not having to re-ask the customer for numbers, but I know I'm going to get asked how vendors like Amazon and such get away with storing information for repeat purchases, and I have no answer to this.

È perfettamente accettabile memorizzare i dati della carta di credito, ma ci sono tonnellate di regole che riguardano il modo in cui lo fai: dove, come, auditing, ecc. Ci sono molti libri su questo argomento.

So, how do vendors like Amazon and everybody else who bills monthly authorize future charges without storing things like CVV info, which is expressly forbidden by PCI DSS v3?

Non è necessario avere le informazioni CVV, aiuta solo con la frode. Dopo averlo verificato la prima volta (cosa che si può fare senza scriverlo sul disco), si può presumere che la carta non sia fraudolenta. Ha fatto il lavoro che doveva fare.

I read elsewhere that tokens can be created and stored in lieu of stripe info, but isn't possession of a token representing the contents of the stripe just as valuable as the stripe info itself? Anybody with possession of the token could make fraudulent charges, so who cares whether they have that or the actual CC/CVV info?

La tokenizzazione è buona se riesci a ottenere le informazioni del titolare della carta dal tuo ambiente e dalle cure di qualcun altro. Il "token" è un identificatore univoco che consente al tuo sistema di agire ancora nel senso tradizionale. Fornisci un elenco di token al tuo provider e li traducono nei numeri reali.

Questo è positivo perché è loro responsabilità memorizzare / elaborare / etc i numeri reali. La tua responsabilità scompare a questo proposito.

Or is token conversion just a way of saying "we're not storing the actual PAN/CVV" and passing along regulatory compliance issues to whoever issued it?

Esatto, tranne che a chi lo elabora , non a chi genera i token. :)

Modifica: molte aziende non si interessano senza comprendere il costo della non conformità.

Vedi link

Sono passati alcuni anni, ma quando facevo l'e-commerce (incluso un lavoro per una grande azienda che in precedenza aveva archiviato migliaia di numeri di carte di credito in chiaro), il mio metodo preferito era usare il servizio CIM di Authorize.net (altri fornitori avere servizi simili, questo è quello con cui ho più familiarità, guardarsi intorno per quello che funziona meglio per te).

Il modo in cui ha funzionato è che hai inviato le informazioni al processore e hanno restituito un token. Il token è più sicuro dei dati effettivi delle carte perché è buono solo per caricare quella carta sul tuo account usando quel processore. Qualcuno non ha potuto prendere il token e usarlo altrove, e se lo avessero ottenuto, tutto ciò che avrebbero potuto fare sarebbe stato fare delle false accuse da te, che avrebbero messo i soldi nel tuo account e farti sembrare male, ma potevi rimborsare i soldi e annullare i token e nessun danno reale fatto tranne il disagio temporaneo - nessun denaro perso per i cattivi e nessuna necessità di sostituire la carta.

Se gli addebiti ricorrenti sono coerenti e pianificati, alcuni altri servizi di elaborazione delle carte consentono di impostare piani di abbonamento, in cui inizialmente si inviano le informazioni sulla carta insieme a una descrizione del piano di quanto spesso fatturare quanto. Successivamente, è possibile annullare il piano, ma non si dispone né delle informazioni sulla carta né di un token, quindi non è possibile caricarle accidentalmente (come si potrebbe fare con un token) o perdere le informazioni della carta in una violazione.

Non conservare mai CVV in alcun modo, che è severamente vietato. Non ne hai affatto bisogno, e averlo è una responsabilità enorme. Non dovresti aver bisogno di memorizzare nulla se non al massimo un token o un identificativo di sottoscrizione. Le ultime 4 cifre e il tipo di carta (visa / mastercard / etc) possono aiutare il servizio clienti, ma non sono realmente necessarie.

RSTaylor ti sta indirizzando nella giusta direzione. Ci sono aziende che forniranno l'elaborazione della carta di credito per te (a pagamento, ovviamente). Puoi costruire un sito in modo che il numero del cliente non vada mai sui tuoi server, nemmeno nella RAM, quindi non può essere violato.

Dichiarazione di non responsabilità 1: dovrai fare affidamento sull'integrità e sulla conformità di tale società. Non ne so abbastanza da suggerire un'azienda specifica.

Disclaimer 2: È anche un po 'complicato ottenere la funzionalità della carta di credito nel tuo sito, ma può essere fatto.

Per la tua domanda

So, how do vendors like Amazon and everybody else who bills monthly authorize future charges without storing things like CVV info, which is expressly forbidden by PCI DSS v3?

Voglio dare uno scenario esatto a riguardo.

1. Compro un libro da Amazon tramite il mio Kindle con un solo clic, ma il pagamento non riesce. Sono sicuro di avere abbastanza credito sulla mia carta di credito e faccio sempre acquisti con la stessa carta su Amazon.
2. Quando controllo i dettagli dell'ordine, viene indicato che c'è un problema nella procedura di pagamento e mi chiede di utilizzare un'altra carta.
3. Quando controllo la carta e i dati bancari mi rendo conto che la mia banca ha un controllo antifrode perché ha rubato alcuni dati della carta e per tutti i pagamenti online è richiesto CVV.

Quindi significa che si tratta di una regola di frode tra il commerciante e la banca.