Posso mostrare i dati della carta di credito ai clienti finali ed essere conforme PCI?

In definitiva, penso che dovresti capirlo con il tuo auditor PCI, cosa che non lo sono. Penso che avrai difficoltà a capire come fare questo è un modo a) non eccessivamente gravoso per te e gli utenti finali dei dati delle carte, e b) ti lascia con un sistema che è ancora PCI conforme e che il vostro revisore conferirà un timbro di approvazione, ma non credo nemmeno che PCI DSS v3 lo renda impossibile.

Questo è il problema più significativo:

Una volta che i dati della carta entrano in un sistema conforme PCI, non possono essere estratti e consegnati tramite mezzi non conformi. Ciò significa che non è possibile estrarre i dati della carta e inviarli tramite e-mail a un hotel, ad esempio, o consegnarli a qualcuno al telefono. Deve sempre essere crittografato, accesso registrato e PAN non protetti visualizzati solo a quelli con esigenze aziendali legittime.

Ora, dato che il personale dell'hotel ha in realtà un bisogno aziendale legittimo (devono essere in grado di ricaricare la carta) se l'accesso è opportunamente limitato e l'audit registrato, si può essere in grado di discuterne con successo. Aumenta comunque il livello di rischio, tuttavia, e un determinato revisore può rifiutarsi di acquistare questa linea di ragionamento.

Sarebbe molto meglio se potessi inviare i dati direttamente all'hotel o i tour operator stessi sistemi di elaborazione conformi PCI e lasciarli preoccupare da lì, invece di dover lavorare attraverso intermediari umani.

Non dovresti mai mostrare una carta di credito leggibile a tutti (inclusi gli utenti autorizzati). È una cattiva pratica di sicurezza. In tal caso, sarà necessario implementare controlli di accesso e monitoraggio ancora più efficaci per garantire che le credenziali per gli utenti autorizzati non siano compromesse e che gli hacker non stiano rubando i dati CC. Meglio semplicemente visualizzando le ultime 4 cifre del CC.

I dati della carta di credito non sono omogenei. Ci sono alcune informazioni che puoi mostrare e altre che non puoi nemmeno memorizzare. Ad esempio, non ti è permesso di memorizzare il codice CVV2. Tuttavia, altri dati relativi alla carta di credito sono il nome del titolare della carta, la cronologia delle transazioni, ecc. Quindi devi esaminarlo in base al campo.

In generale, le migliori pratiche sono la riduzione al minimo - non rendere mai più accessibili i dati di ciò che una determinata persona deve svolgere. Ad esempio, i rappresentanti del servizio clienti in un call center non dovrebbero essere in grado di vedere i numeri CC.

È possibile mostrare i dati completi della carta di credito fino a quando l'utente supera l'MFA (autenticazione a più fattori). Anche il numero di telefono utilizzato per convalidare l'MFA deve essere allegato a tale utente. Nessun link dovrebbe essere disponibile per visualizzare di nuovo i dati della carta. Anche la pagina non dovrebbe mai essere incassata.

Il tuo gateway di pagamento probabilmente ha un modo per archiviare e tokenizzare le informazioni della carta di credito sui loro server in un modo conforme allo standard PCI. Ad esempio, se utilizzi Authorize.Net , puoi utilizzare i loro Customer Information Manager servizio per archiviare e tokenizzare le informazioni delle carte degli utenti finali in modo sicuro sui server di Authorize.Net.

Utilizzando tale servizio, quando l'utente finale prenota una prenotazione, è possibile memorizzare i dati della propria carta di credito sui server del gateway di pagamento. Quando lo fai, ricevi un token che puoi memorizzare nel tuo database. Ogni volta che è necessario eseguire una transazione sulla carta di credito del cliente, è possibile farlo fornendo il token.

In questo modo, non è necessario memorizzare le informazioni della carta di credito dell'utente finale sui server e l'utente è conforme allo standard PCI ed è possibile eseguire transazioni sulle carte dell'utente finale in qualsiasi momento (utilizzando i token).