Attualmente stiamo raccogliendo i dati dei titolari di carte in modo segmentato. Il nostro sistema è utilizzato dagli agenti del call center che chiamerò canale B
Sul canale A (operatore di telefonia mobile) raccogliamo le prime 8 cifre della carta di credito seguite dal cvv. Ora non abbiamo il controllo della registrazione su questo canale e potrebbero registrarlo in testo non crittografato.
Sul canale B, l'agente raccoglie il resto del PAN e la data di scadenza.
Quindi lo ricostruiamo per cambiare.
La mia domanda è questa, il punto 3.2 della PCI dichiara che non ti è permesso di memorizzare cvv, ma questo si applica con PAN segmentato? La mia tesi è che non puoi fare nulla con CVV senza il pan completo.