Sebbene PCI DSS non invochi specificatamente la scheda di un cliente, è coperto da 9.6, "Proteggi fisicamente tutti i supporti". Per citare le procedure di test,
9.6 Verify that procedures for protecting cardholder data include controls for physically securing all media (including but not limited to computers, removable electronic media, paper receipts, paper reports, and faxes).
La carta stessa è un supporto fisico che contiene i dati dei titolari di carta: pensaci come se qualcuno ti inviasse via fax una copia della carta, solo senza la carta :). "Proteggere fisicamente" significherebbe una sorta di controllo dell'accesso per garantire che solo il personale autorizzato (ad esempio, il personale) e il personale non non autorizzato (ad esempio, le alucce che raggiungono la barra) possano raggiungerlo. All'interno di un cassetto dei registri potrebbe funzionare bene, perché è una protezione per due diligence poiché protegge i tuoi contanti in ogni caso e tutto il personale ha accesso necessario senza interruzioni aggiuntive.
La scheda potrebbe essere diversa in quanto contiene il CVV, che non può essere "memorizzato" come da PCI DSS 3.2.2. Ma dal momento che le carte vengono fisicamente consegnate allo staff costantemente (ad esempio, il tuo cameriere lo prende sul retro per farlo scorrere), ovviamente questo è gestito in modo diverso con le transazioni fisiche. Temo di non avere alcuna idea delle sfumature lì.
Che mi porta al mio riassunto ... consiglio PCI DSS che ottieni qui
- potrebbe essere prevenuto sulle transazioni con carta non presente ( CNP ) e
- Il consiglio PCI DSS è solo un'opinione a meno che non provenga da un QSA .
Ti incoraggio a pensare a questo come una di quelle volte in cui devi pagare un auditor certificato per guidare la tua implementazione. (E penso che il suggerimento di @ AndyMac sull'autorizzazione di una certa somma e poi sul pagamento dell'importo totale in seguito sia probabilmente la strada giusta da percorrere, anche se non ho idea di come la firma sia finita in quella situazione se il cliente lascia senza firma - la mia esperienza è sbilanciato verso le transazioni CNP.)