La memorizzazione dei dettagli della carta senza il permesso del titolare della carta rispetto a PCI DSS?

Naviga le tue risposte
8

Ho comprato qualcosa da un negozio online, e quando ho inserito i dettagli della carta, ha inviato i dettagli al loro server attraverso una connessione HTTPS, che presumo abbiano inoltrato al loro provider - chi sono io non ho un indizio.

Da allora ho letto sul loro sito e dicono che memorizzeranno i dettagli della carta, ma:

  1. Non riesco a vedere questi dettagli o qualsiasi cosa che indichi i dettagli della carta memorizzati nella sezione del mio account.
  2. Non ho avuto alcuna possibilità di salvare i dettagli della carta per utilizzarli in seguito quando li inserisci.
  3. Non ho idea se stiano memorizzando i dettagli come un token con il loro provider o in un file di testo normale su un desktop somebodys. Per quello che vale, ho fatto l'acquisto e ricevuto le merci 3 settimane fa, ma il denaro è appena uscito dal mio account ora che sembra un po 'insolito.

Quindi, sta memorizzando i dettagli delle carte senza che i titolari di carta autorizzino una violazione di PCI DSS? Ho esaminato i documenti PCI-DSS e mentre sono abbastanza dettagliati, non riesco a trovare alcun riferimento a questo.

    
posta R4D4 22.03.2012 - 12:04
fonte

3 risposte

7

Per quanto ne so io, PCI-DSS non copre il permesso dell'utente per la memorizzazione dei dati (a seconda di dove si vive qualcosa come potrebbe essere l'Ups Data Protection Act). Detto questo, se un'azienda memorizza i dati completi della traccia (CVV2 inc), non sarebbero conformi con DSS. Possono solo memorizzare i dettagli delle carte allo scopo di tracciare le cose come chargeback, anche se da quello che ho visto molti commercianti si stanno allontanando dalla memorizzazione dei dettagli delle carte, se possibile a causa del conseguente mal di testa della conformità.

    
risposta data 22.03.2012 - 15:41
fonte
5

Il requisito PCI 3.1 richiede che i titolari delle carte conservino i dati di archiviazione delle carte al minimo ...

Se non si tratta di un servizio che richiede addebiti ricorrenti o simili, penso che rientrerebbe in più dati di quelli che dovrebbero conservare (per il rintracciamento di addebito possono conservare altri dati, hash, parziali, ecc.)

    
risposta data 22.03.2012 - 17:09
fonte
3

Copertine PCI-DSS COME i dati possono essere archiviati. Il contratto commerciale e, soprattutto, le regole di accettazione dei titolari di carta determinano QUANDO i dati delle carte possono essere archiviati. Ad esempio, vedi Linee guida per l'accettazione delle carte per i commercianti Visa. link

    
risposta data 08.05.2013 - 18:35
fonte

Leggi altre domande sui tag

Differenza tra directory traversal e inclusione di file Fortify360 - Sinks & Sources - Conteggio delle vulnerabilità