Memorizzazione di carte di credito

11

Ok, quindi archiviare informazioni / record di carte di credito digitalizzati è un processo ben documentato quando si tratta di buone pratiche. Recentemente mi è stato chiesto come un'azienda può archiviare, recuperare ed elaborare le carte di credito fisiche. Non ho molta familiarità con gli standard PCI-DSS

Lo scenario è questo: Un hotel vuole essere conforme allo standard PCI, i suoi server sono all'altezza e tutto il resto, ma come parte della loro attività, gestiscono un bar / club molto attivo dove gli ospiti possono iniziare una "scheda". Per iniziare una scheda, un ospite deve prima consegnare una carta di credito valida. Questa carta viene quindi tenuta sotto il banco ma non è protetta in alcun modo speciale. Avere questa carta senza controllo di accesso (qualsiasi dipendente dietro la barra può accedervi senza generare "log") e senza alcun tipo di archiviazione sicura (non in una cassastrong ad esempio), quindi, infrange la conformità PCI?

Quale sarebbe il modo migliore di gestire carte come questa in un simile ambiente?

    
posta NULLZ 16.06.2013 - 08:59
fonte

3 risposte

10

Per le transazioni presenti dei titolari di carta, c'è molto poco in termini di sicurezza fisica all'interno di PCI DSS. I titolari della carta sono responsabili per le loro carte e non sono tenuti a consegnarli ad altri per la conservazione di terze parti. Quello che dovrebbe accadere in questo scenario per limitare l'accesso di tutti i baristi ecc. Alla carta è che una pre-autorizzazione di $ 0,01 dovrebbe essere prelevata dalla carta e la carta restituita al titolare della carta con il suo numero di scheda. Possono quindi ordinare da quella scheda per la sera e pagare alla fine della notte. Se partono con la loro carta, la barra può caricare la carta in base alla pre-autorizzazione.

L'altro modo per farlo potrebbe essere che uno staff di bar in particolare sia responsabile delle carte delle persone su cui stanno girando le schede in modo da sapere chi ha che carta quando. Questo non è molto pratico a causa di cambiamenti e pause, quindi il processo precedente sarebbe il migliore.

    
risposta data 16.06.2013 - 11:10
fonte
4

Non sono sicuro di come la memoria della scheda fisica riguardi pci dss, la cosa che mi chiedo è perché avrebbero archiviato la carta in primo luogo? La cosa facile da fare sarebbe strisciare la carta e memorizzare i dettagli in un sistema informatico. (Assegna un CC a una scheda) è così che la maggior parte degli hotel lo fanno in questi giorni.

    
risposta data 16.06.2013 - 10:39
fonte
4

Sebbene PCI DSS non invochi specificatamente la scheda di un cliente, è coperto da 9.6, "Proteggi fisicamente tutti i supporti". Per citare le procedure di test,

9.6 Verify that procedures for protecting cardholder data include controls for physically securing all media (including but not limited to computers, removable electronic media, paper receipts, paper reports, and faxes).

La carta stessa è un supporto fisico che contiene i dati dei titolari di carta: pensaci come se qualcuno ti inviasse via fax una copia della carta, solo senza la carta :). "Proteggere fisicamente" significherebbe una sorta di controllo dell'accesso per garantire che solo il personale autorizzato (ad esempio, il personale) e il personale non non autorizzato (ad esempio, le alucce che raggiungono la barra) possano raggiungerlo. All'interno di un cassetto dei registri potrebbe funzionare bene, perché è una protezione per due diligence poiché protegge i tuoi contanti in ogni caso e tutto il personale ha accesso necessario senza interruzioni aggiuntive.

La scheda potrebbe essere diversa in quanto contiene il CVV, che non può essere "memorizzato" come da PCI DSS 3.2.2. Ma dal momento che le carte vengono fisicamente consegnate allo staff costantemente (ad esempio, il tuo cameriere lo prende sul retro per farlo scorrere), ovviamente questo è gestito in modo diverso con le transazioni fisiche. Temo di non avere alcuna idea delle sfumature lì.

Che mi porta al mio riassunto ... consiglio PCI DSS che ottieni qui

  1. potrebbe essere prevenuto sulle transazioni con carta non presente ( CNP ) e
  2. Il consiglio PCI DSS è solo un'opinione a meno che non provenga da un QSA .

Ti incoraggio a pensare a questo come una di quelle volte in cui devi pagare un auditor certificato per guidare la tua implementazione. (E penso che il suggerimento di @ AndyMac sull'autorizzazione di una certa somma e poi sul pagamento dell'importo totale in seguito sia probabilmente la strada giusta da percorrere, anche se non ho idea di come la firma sia finita in quella situazione se il cliente lascia senza firma - la mia esperienza è sbilanciato verso le transazioni CNP.)

    
risposta data 16.06.2013 - 18:00
fonte

Leggi altre domande sui tag