Memorizzazione di CVC / CVV / CVV2 fino all'elaborazione del pagamento

8

Ho bisogno di memorizzare le informazioni di pagamento di una transazione.

Abbiamo uno script che legge quali transazioni non sono ancora state inviate al nostro ERP (il software di gestione aziendale), per poi inviarlo. Questo script viene eseguito ogni pochi minuti.

Secondo PCI DSS, posso memorizzare informazioni come numero di carta di credito, nome del titolare della carta e data di scadenza, ma non posso memorizzare CVV2. Come dovrei memorizzare queste informazioni fino a quando lo script non le invia?

    
posta leo0 02.07.2014 - 21:59
fonte

5 risposte

15

Tecnicamente, secondo PCI SSC è possibile conservare CVV e altri dati sensibili di autenticazione fino a quando non si verifica l'autorizzazione. In altre parole, la restrizione sull'archiviazione dei dati di autenticazione sensibili si applica alla memorizzazione post-autenticazione / elaborazione. Ecco un documento da PCI SSC sui requisiti di archiviazione dei dati . Vedi la tabella "Linee guida tecniche per l'archiviazione dei dati PCI". La nota 2 della tabella indica:

Sensitive authentication data must not be stored after authorization (even if encrypted).

Il mio consiglio come QSA è che il tempo di archiviazione pre-autorizzazione deve essere ragionevole dal punto di vista aziendale. Vorrei anche che fosse il più breve possibile dal punto di vista tecnico. Se il flusso di dati è simile ad altri nel vostro settore e stanno elaborando i pagamenti senza memorizzare i dati sensibili per più di qualche secondo al massimo, allora mi aspetterei lo stesso da voi.

    
risposta data 03.07.2014 - 18:11
fonte
2

Devi parlare con un QSA.

Non puoi memorizzare il CVV. Tuttavia, la memorizzazione accidentale può verificarsi come parte di un flusso transazionale approvato e ciò è accettabile se la QSA lo trova così. Altrimenti, sarebbe impossibile utilizzare CVV nelle transazioni batch.

    
risposta data 02.07.2014 - 23:14
fonte
1

Non riuscirai a farlo, dovrai trovare un altro modo.

Se la memoria serve il framework PCI DSS, afferma anche che non è possibile memorizzare un numero di carta di credito (o altro PAN) in testo semplice nella sua interezza. Dovrai nascondere i numeri centrali come mostrato nelle ricevute, quindi devi assicurarti che lo script ti consenta di farlo anche tu.

    
risposta data 02.07.2014 - 22:19
fonte
1

Poiché gowenfawr ha risposto che non è possibile memorizzare il numero CVV. Lo scopo del numero CVV è dimostrare che il titolare della carta possiede la carta, non autorizzare transazioni. Se il commerciante è in grado di ottenere il numero CVV, nega al consumatore la possibilità di addebitare una transazione non autorizzata poiché la società della carta di credito rifiuterà il chargeback.

The most popular answer to this question is not the correct one. The only place the CVV number should be stored is on the Credit Card itself.

    
risposta data 17.02.2017 - 15:51
fonte
0

Ci sono certamente (naturalmente) molti dettagli mancanti qui. Sono d'accordo con DKNUCKLES e credo che tu abbia un problema di processo. Riesci a sanare la logica del ritardo attraverso l'autorizzazione dei dati del titolare della carta?

Non puoi assolutamente memorizzare tutti i dati della traccia o il numero CVV2.

    
risposta data 02.07.2014 - 22:25
fonte

Leggi altre domande sui tag