Carta di credito non richiesta in email?

Naviga le tue risposte
9

Lavoro per una compagnia di assicurazioni che a caso (3-5 volte all'anno) ha un consumatore che invia la sua carta di credito al nostro servizio clienti. Non chiediamo il numero, lo inviano semplicemente per "accelerare" la transazione.

Da una prospettiva PCI-DSS, come dovrebbe essere gestito dall'agente del servizio clienti? Finora, tutto ciò che ho scoperto è "non colpire la risposta, creare un nuovo messaggio", quindi non lo stiamo rinviando. Tuttavia, dovremmo espungere questo dal nostro sistema? Includere una comunicazione al cliente?

    
posta Jack M. 24.03.2014 - 16:16
fonte

2 risposte

7

Come QSA, ecco come mi aspetto che tu gestisca questa situazione:

  1. Avere una politica, che è rigorosamente applicata, affermando che nessun dato della carta deve essere inviato o ricevuto via email.
  2. Avere una procedura in atto per gestire gli incidenti non richiesti email contenenti dati di carte. Questo dovrebbe includere un processo per sicurezza eliminare l'e-mail incriminata e informare il cliente su come trasmettere correttamente le informazioni di pagamento.
  3. Implementare un metodo per convalidare la politica e le procedure essere seguito. Questo può includere:
    • Scansione periodica del tuo server di posta per i dati della carta di credito
    • Implementa una soluzione DLP che monitorerà il tuo server di posta elettronica per l'offesa dei dati e la ridurrà o non consentirà l'invio o la memorizzazione.

Il punto 3 sopra è importante quando si considera la valutazione PCI. Il tuo QSA convaliderà l'ambito del tuo CDE all'inizio della valutazione. Parte dell'esercitazione di scoping può includere scansioni di rilevamento di cardhold data e un server di posta elettronica è un reato comune quando si tratta di archiviare i dati delle carte. Se la QSA rileva i dati della carta sul server, verrà considerata parte del CDE. Ciò potrebbe causare alcuni problemi se non ci si aspettasse che venisse incluso nella valutazione, quindi il sistema potrebbe non essere all'altezza degli standard PCI. Ciò rende anche difficile dimostrare che stai seguendo la tua politica. Una politica da sola non è sufficiente per proteggerti dai requisiti PCI. Deve essere applicato anche.

    
risposta data 25.03.2014 - 17:30
fonte
4

Da quanto ho capito dell'applicabilità di PCI-DSS 3 (PDF) , se rifiutate attivamente ( cioè non accettare i dati della carta di credito via e-mail), il tuo sistema di posta elettronica non è considerato parte di CDE , o Cardholder Data Environment . Sembra che tu debba essere molto severo riguardo a questo: il 100% della conformità, o il tuo sistema di posta elettronica è ora parte del tuo CDE e deve mantenere la conformità PCI-DSS.

Consiglio di istituire una politica per eliminare le e-mail che contengono dati di carte di credito e creare una nuova e-mail per il cliente come si fa. La differenza qui è che non è assolutamente possibile accettare i dati della carta di credito tramite e-mail e utilizzare tali dati per la verifica o l'elaborazione dei pagamenti . Avere politiche in atto per gli agenti del servizio clienti che non possono sollecitare i dati delle carte via e-mail o chiedere che venga restituito in un messaggio di posta elettronica, anche come allegato. Se possibile, inserisco un filtro sulla tua e-mail in arrivo che cerca pattern numerici CC (inizia con 4, 5 o 6, 16 cifre, può essere diviso in 3 o 4 gruppi ...), e rimuove il Informazioni CC.

Tieni presente che non sono un professionista PCI, ma sono stato sottoposto ad esso per diversi anni. È sempre meglio giocare sul sicuro considerando la responsabilità, anche se se non si consente l'uso delle informazioni della carta di credito inviate tramite e-mail, la responsabilità si ridurrà in modo significativo.

    
risposta data 24.03.2014 - 19:47
fonte

Leggi altre domande sui tag

È accettabile generare sali con un hash del nome utente? Qualche motivo per utilizzare l'autenticazione "Basic HTTP"?