Memorizzazione delle informazioni della carta di credito per l'elaborazione manuale successiva

6

Sto ricostruendo un sito di eCommerce dei clienti usando Wordpress e WooCommerce come framework. Il loro attuale sito eCommerce prende le informazioni della carta di credito e le memorizza per l'elaborazione manuale successiva. Per "proteggere" i dati che invia dimezza il numero della carta di credito tramite e-mail e memorizza il resto. Il cliente desidera essere in grado di addebitare manualmente le carte di credito tramite il proprio software di servizio finanziario a causa di tariffe negoziate. Ciò elimina l'opzione di utilizzare un gateway di pagamento come una striscia.

Il loro attuale processo sembra essere una pratica valida secondo un post di webengr su questo thread: link .

"Many of you are probably aware how zencart/oscommerce does it. The basic offline cc processor for zencard saves part of the credit card then emails the other part. http://tutorials.zen-cart.com/index.php?article=67 There have been discussions about it this is good enough to meet the 'PCI compliance' Supposedly, your business is PCI compliant as long as you are not storing Track 1 CC data which consists of the full CC number, name, expiration date."

È davvero una pratica legittima?

Come posso conservare in modo sicuro le carte di credito per un'elaborazione manuale successiva, nel rispetto degli standard PCI?

  • Esiste un servizio in grado di memorizzare i dettagli della carta di credito e la transazione tramite tokenizzazione. Quindi accedere per recuperare i dettagli della carta dal token e caricarli manualmente tramite il loro fornitore di servizi finanziari?
  • Quali altre pratiche di sicurezza suggerisci? Risolvi le risposte più approfondite, quindi utilizza SSL.
posta Originals 29.10.2015 - 23:36
fonte

3 risposte

3

Le sezioni pertinenti di PCI DSS v3.1 sono le seguenti:

3.2 Do not store sensitive authentication data after authorization (even if encrypted).

Tuttavia questo è permesso se

  • There is a business justification and
  • The data is stored securely.

Anche

3.2.1 Do not store the full contents of any track (from the magnetic stripe located on the back of a card, equivalent data contained on a chip, or elsewhere) after authorization. This data is alternatively called full track, track, track 1, track 2, and magnetic- stripe data.

Tuttavia, la memorizzazione del CSV dopo l'autenticazione è completa no-no:

3.2.2 Do not store the card verification code or value (three-digit or four-digit number printed on the front or back of a payment card used to verify card-not- present transactions) after authorization.

Per quanto riguarda la visualizzazione del numero della carta stessa, è OK mostrare le prime sei e le ultime quattro cifre:

3.3 Mask PAN when displayed (the first six and last four digits are the maximum number of digits to be displayed), such that only personnel with a legitimate business need can see the full PAN.

Il resto del requisito tre (da 3.4.1 a 3.7) descrive come è possibile memorizzare i dati delle carte. Il lungo e il breve è che deve archiviarlo crittografato usando protocolli di crittografia accettati dallo standard di settore. La crittografia completa del disco è accettabile. Quindi si passa alla gestione delle chiavi. Questa è la parte difficile. La chiave per PCI DSS è di documentare come funzionerà e come questo soddisfi questi requisiti.

    
risposta data 02.11.2015 - 13:24
fonte
2

Esistono metodi conformi allo standard PCI per archiviare i dati della carta di credito per l'elaborazione manuale offline in un secondo momento: i dati delle carte "dimezzati" (forse); strong crittografia con corretta gestione delle chiavi (certamente).

È davvero una pratica legittima? se il commerciante attesta che è e può verificare la conformità a un QSA PCI, se necessario, allora lo è. Se si gestiscono i dati del titolare della carta (CHD) sulla rete, l'utente è pienamente responsabile di garantire che la CHD mantenga la conformità PCI. Anche se questi metodi possono essere conformi, vi è sempre lo sforzo ed i costi associati alla gestione della conformità in corso: scansioni trimestrali, audit in loco (se l'elaborazione a determinati volumi), reporting, test di penetrazione regolare ecc.

Tuttavia, se l'obiettivo di te e dei tuoi clienti è quello di risparmiare sulle commissioni di transazione a causa delle loro tariffe privilegiate e ridurre l'ambito PCI, la responsabilità di gestione della CHD associata e i relativi costi non gestendo alcuna CHD, quindi dovresti prendere in considerazione la tokenizzazione e i provider di servizi di storage conformi allo standard PCI.

Tokenizzazione e provider di servizi di archiviazione sicuri come Auric o SecureNet è specializzato nell'archiviazione sicura di CHD per implementazioni come il tuo scenario. Questi provider conformi PCI offrono di mantenere i dati sensibili di CHD archiviati in "depositi" sicuri, mantenendoli completamente fuori dal proprio ambiente e fornendo al tempo stesso un accesso sicuro per l'elaborazione successiva. Forniscono metodi di integrazione come le API dei servizi Web utilizzando semplici post HTTPS o iframe incorporati in una pagina di pagamento ospitata per collegare la pagina di pagamento al loro servizio.

I prezzi variano ampiamente, ma ad esempio il servizio Auric vault addebita $ 0,10 per gettone / mese. Memorizzare 1000 gettoni carta di credito al mese costerebbe $ 100,00

Progettato correttamente, questo approccio può ridurre in modo significativo l'ambito e i costi del PCI. L'utilizzo di fornitori di servizi convalidati PCI DSS per l'hosting e la tokenizzazione di CHD può spostare gran parte del tuo onere di conformità PCI a un terzo già convalidato parti.

    
risposta data 09.11.2015 - 01:43
fonte
0

Come da PCI DSS, la memorizzazione diretta di dati T1 è inibita. Quindi, le soluzioni di mascheramento dei dati possono essere utilizzate per mascherare i dati delle carte e memorizzare temporaneamente i dati T1. Inoltre, i sistemi che utilizzeranno questi dati mascherati dovrebbero essere considerati nell'ambito di T2 della conformità PCI. Invece di frammentare la tokenizzazione del numero di carta è la soluzione migliore. Poiché riduce al minimo la gestione del rischio e può essere utilizzata anche una PKI adatta, preferibilmente con una lunghezza della chiave di 2048 bit per la memorizzazione sicura di questo token.

    
risposta data 30.10.2015 - 06:44
fonte

Leggi altre domande sui tag