La memorizzazione di CVV è conforme agli standard PCI?

14

Da esperienza personale legata al lavoro so che molti "motori di prenotazione" memorizzano le informazioni CVV per le carte di credito dei clienti dal momento in cui viene effettuata la prenotazione fino al momento in cui l'ospite lascia l'hotel. Per le persone che prenotano le loro stanze con un anno di anticipo, ciò significa che i loro dati CVV sono nel motore di prenotazione per un anno completo !

Ne sono consapevole perché i miei compiti mi impongono di interfacciarsi regolarmente con diversi fornitori di questo servizio, e questo mi consente di avere accesso a una moltitudine di codici CVC / CVV / CVV2 dei clienti. Ho osservato personalmente il comportamento delle applicazioni nel raccogliere il codice al momento della prenotazione e conservarlo fino al check-out.

Alcuni motori di prenotazione limitano il numero di volte in cui è possibile visualizzare le informazioni della carta di credito (credo che in particolare mi limiti a 5), ma le informazioni sono ancora passate al Channel Manager e al PMS - e lavoro con tutti e tre.

Naturalmente ci sono determinati gateway di pagamento che non richiedono il codice CVV per elaborare una transazione. Tuttavia, molti degli albergatori con cui lavoro hanno gateway di pagamento che lo fanno.

Sono preoccupato che la conservazione di questi dati per un così lungo periodo sia contro gli standard PCI-DSS, o altri requisiti legali o best practice del settore. Ho letto le risposte a una domanda qui sull'argomento (link sotto), ma il problema mi è ancora un po 'oscuro in merito a come questo si applica a servizi come Booking Engines.

Conservazione di CVC / CVV / CVV2 fino all'elaborazione del pagamento

    
posta Andras Gyomrey 19.11.2014 - 13:58
fonte

2 risposte

7

L'archiviazione dei dati di autenticazione sensibili non deve essere memorizzata esplicitamente dopo l'autorizzazione. I dati di pre-autorizzazione possono essere archiviati e non rientrano nel dominio di PCI DSS. I marchi di carte di pagamento individuali determinano le specifiche di se possono essere memorizzati, per quanto tempo e cosa deve essere fatto nel processo.

Il PCI SSC ha chiarito che questi dati devono essere protetti con lo stesso vigore dei dati dei titolari di carte successivi all'autorizzazione come i PAN. Il diverso approccio alla pre-autorizzazione rispetto alla post-autorizzazione è in gran parte dovuto alla diversa e complicata natura dei dati di pre-autorizzazione che circolano (la tua carta fisica potrebbe essere considerata dati di pre-autorizzazione, e ci sono persone che letteralmente spediscono le loro carte a effettuare pagamenti, anche se non so che qualcuno intenda farlo per i titolari di carta.)

    
risposta data 02.02.2015 - 09:55
fonte
13

L'archiviazione di CVV non è consentita:

Cisonoalcunecosedaconsiderare:

  1. Sipresupponechebooking.comstiamemorizzandoCVV
  2. SipresumechesianecessariounCVVperelaborareunatransazione.

On1)-noncipuòesserealcunmodoperconfermaresebooking.com,Expediastannomemorizzandoamenochenoncilavori.DovrebberorispondereaunQSA.Ora,perquantoriguardailCVVcheèmemorizzato,cioèleinformazioniCVV2,èusatoper Transazioni CNP . Quello che posso vedere fare un'azienda, è forse fare un hash crittografico, memorizzare l'hash e fare un confronto.

On 2) - ancora una volta, CVV è solo un meccanismo aggiuntivo pensato per prevenire le frodi. Non è davvero necessario per elaborare una transazione.

Una volta che un processo è autorizzato, alcune società di carte di credito danno a commercianti altri identificatori da utilizzare per la convalida futura. Questo può essere letto / spiegato tramite Visa " Le migliori pratiche del commerciante per le transazioni ricorrenti ."

Dovevo indovinare come funziona:

Consumer --> (CC + CVV2) --> Merchant 
Merchant --> process this --> VISA
VISA --> all is good to go btw here is a summary [additional code] for future reference --> VISA
Merchant --> stores additional code for future reference
Consumer (months later) --> "I want to buy this" --> Merchant
Merchant --> we have data from you, and also from Visa
Merchant --> processed thank you --> Consumer

La mia ipotesi migliore su una quantità limitata di lettura e / o caffeina.

    
risposta data 19.11.2014 - 14:32
fonte

Leggi altre domande sui tag