Segmentazione dei dati dei titolari di carte per conformità PCI (3.2)

Naviga le tue risposte
5

Attualmente stiamo raccogliendo i dati dei titolari di carte in modo segmentato. Il nostro sistema è utilizzato dagli agenti del call center che chiamerò canale B

Sul canale A (operatore di telefonia mobile) raccogliamo le prime 8 cifre della carta di credito seguite dal cvv. Ora non abbiamo il controllo della registrazione su questo canale e potrebbero registrarlo in testo non crittografato.

Sul canale B, l'agente raccoglie il resto del PAN e la data di scadenza.

Quindi lo ricostruiamo per cambiare.

La mia domanda è questa, il punto 3.2 della PCI dichiara che non ti è permesso di memorizzare cvv, ma questo si applica con PAN segmentato? La mia tesi è che non puoi fare nulla con CVV senza il pan completo.

    
posta Devonne Burger 22.02.2016 - 10:11
fonte

3 risposte

12

Ecco i do e dont di base per PCI-DSS :

Indipendentementedallasegmentazione,nonèpossibilememorizzareidatiCVV.L'efficaciadiquestocodiceèlimitataallapossibilitàditenerlolontanodallemanideicriminali,motivopercuièvietatol'archiviazionedeglistandardPCI.Pericommercianticheaddebiterannoiclientisubasericorrente,ilcodiceCVVpuòessereutilizzatoconlatransazioneinizialemanonpuòesserearchiviatopertransazionifuture.

Orahaiunadiscussione,maconsiderachec'èunaviolazionenellatuaaziendaecheinumeriCVVsonoottenutieutilizzatiinsiemeainumeridellecarteraccoltiinunaviolazionedallasocietàB,quindiindovinachisaràritenutoresponsabileinquantononaderisceallostandardPCI-DSS.

LeregoleperPCI-DSSnonsonosololìperdartiunaguidasucomearchiviareleinformazioni,maservonoanchecomeunmodoperscaricareilrischiodagliacquirentidellecarteaicommercianti.Forsepotrestipensarechenonègiusto,manelcasodiPCI-DSS:"Le regole sono le regole". L'unico modo in cui è possibile evitare questo rischio è di avere un QSA di approvazione sulla propria implementazione e di avere esplicitamente la propria architettura in cui si memorizza il CVV come parte del rapporto di audit (per essere onesti dubito strongmente che QSA effettui l'approvazione su quello).

    
risposta data 22.02.2016 - 11:01
fonte
8

La mia comprensione di questo è che è un assoluto - non ti è permesso di memorizzare il numero CVV, se hai memorizzato il resto del numero della carta, nessuno del numero della carta, parte del numero della carta o una carta criptata numero.

PCI non tende a lavorare su ciò che puoi fare con le cose, semplicemente a prevenire cose che hanno un alto potenziale di causare problemi.

    
risposta data 22.02.2016 - 10:21
fonte
0

1.se hai le prime 8 cifre è considerato PAN 2. il requisito non è quello di archiviarlo dopo l'autorizzazione che significa se si salva, si autorizza e si cancella il suo ok

    
risposta data 22.02.2016 - 10:38
fonte

Leggi altre domande sui tag

Come rendere un sito vulnerabile a SQLi? Perché non usiamo l'indirizzo MAC al posto dell'indirizzo IP?