Posso mostrare i dati della carta di credito ai clienti finali ed essere conforme PCI?

7

Lavoro con syatems di gestione delle prenotazioni. Nell'industria dell'ospitalità c'è il concetto di carta di credito come garanzia. Quando si effettua un qualsiasi tipo di prenotazione vengono richiesti i dati della carta di credito al fine di garantire la prenotazione, tuttavia è possibile che venga addebitato solo, in base alle condizioni di prenotazione, in caso di no-show o altri concetti che possono solo si verificano dopo il processo di prenotazione.

Ad esempio, potrei prenotare a gennaio un safari tour in ottobre.

Quindi in pratica finché la prenotazione è valida, è necessario conservare i dati della carta di credito.

Una volta che il giorno della prenotazione si verifica e c'è un no show per esempio. Il personale dell'hotel (i miei clienti) può richiedere i dati della carta di credito dell'utente e caricarlo.

Quindi, se dovessi conservare i dati della carta di credito in un modo conforme allo standard PCI, posso mostrare i dati della carta di credito dell'utente al personale autorizzato dell'hotel (clienti) che deve utilizzarlo per caricare l'utente?

Ancora una volta chiarisco, i miei clienti sono personale alberghiero, tour operator, agenzie di viaggio. E gli utenti dei sistemi sono le persone che lo prenotano e che forniscono i loro numeri di carta di credito.

    
posta jvlucic 10.06.2015 - 18:46
fonte

5 risposte

4

In definitiva, penso che dovresti capirlo con il tuo auditor PCI, cosa che non lo sono. Penso che avrai difficoltà a capire come fare questo è un modo a) non eccessivamente gravoso per te e gli utenti finali dei dati delle carte, e b) ti lascia con un sistema che è ancora PCI conforme e che il vostro revisore conferirà un timbro di approvazione, ma non credo nemmeno che PCI DSS v3 lo renda impossibile.

Questo è il problema più significativo:

Una volta che i dati della carta entrano in un sistema conforme PCI, non possono essere estratti e consegnati tramite mezzi non conformi. Ciò significa che non è possibile estrarre i dati della carta e inviarli tramite e-mail a un hotel, ad esempio, o consegnarli a qualcuno al telefono. Deve sempre essere crittografato, accesso registrato e PAN non protetti visualizzati solo a quelli con esigenze aziendali legittime.

Ora, dato che il personale dell'hotel ha in realtà un bisogno aziendale legittimo (devono essere in grado di ricaricare la carta) se l'accesso è opportunamente limitato e l'audit registrato, si può essere in grado di discuterne con successo. Aumenta comunque il livello di rischio, tuttavia, e un determinato revisore può rifiutarsi di acquistare questa linea di ragionamento.

Sarebbe molto meglio se potessi inviare i dati direttamente all'hotel o i tour operator stessi sistemi di elaborazione conformi PCI e lasciarli preoccupare da lì, invece di dover lavorare attraverso intermediari umani.

    
risposta data 30.09.2015 - 04:00
fonte
1

Non dovresti mai mostrare una carta di credito leggibile a tutti (inclusi gli utenti autorizzati). È una cattiva pratica di sicurezza. In tal caso, sarà necessario implementare controlli di accesso e monitoraggio ancora più efficaci per garantire che le credenziali per gli utenti autorizzati non siano compromesse e che gli hacker non stiano rubando i dati CC. Meglio semplicemente visualizzando le ultime 4 cifre del CC.

    
risposta data 01.08.2015 - 01:27
fonte
0

I dati della carta di credito non sono omogenei. Ci sono alcune informazioni che puoi mostrare e altre che non puoi nemmeno memorizzare. Ad esempio, non ti è permesso di memorizzare il codice CVV2. Tuttavia, altri dati relativi alla carta di credito sono il nome del titolare della carta, la cronologia delle transazioni, ecc. Quindi devi esaminarlo in base al campo.

In generale, le migliori pratiche sono la riduzione al minimo - non rendere mai più accessibili i dati di ciò che una determinata persona deve svolgere. Ad esempio, i rappresentanti del servizio clienti in un call center non dovrebbero essere in grado di vedere i numeri CC.

    
risposta data 10.06.2015 - 19:32
fonte
0

È possibile mostrare i dati completi della carta di credito fino a quando l'utente supera l'MFA (autenticazione a più fattori). Anche il numero di telefono utilizzato per convalidare l'MFA deve essere allegato a tale utente. Nessun link dovrebbe essere disponibile per visualizzare di nuovo i dati della carta. Anche la pagina non dovrebbe mai essere incassata.

    
risposta data 10.06.2015 - 20:18
fonte
0

Il tuo gateway di pagamento probabilmente ha un modo per archiviare e tokenizzare le informazioni della carta di credito sui loro server in un modo conforme allo standard PCI. Ad esempio, se utilizzi Authorize.Net , puoi utilizzare i loro Customer Information Manager servizio per archiviare e tokenizzare le informazioni delle carte degli utenti finali in modo sicuro sui server di Authorize.Net.

Utilizzando tale servizio, quando l'utente finale prenota una prenotazione, è possibile memorizzare i dati della propria carta di credito sui server del gateway di pagamento. Quando lo fai, ricevi un token che puoi memorizzare nel tuo database. Ogni volta che è necessario eseguire una transazione sulla carta di credito del cliente, è possibile farlo fornendo il token.

In questo modo, non è necessario memorizzare le informazioni della carta di credito dell'utente finale sui server e l'utente è conforme allo standard PCI ed è possibile eseguire transazioni sulle carte dell'utente finale in qualsiasi momento (utilizzando i token).

    
risposta data 31.08.2015 - 02:43
fonte

Leggi altre domande sui tag