Il mio indirizzo e le ultime 4 cifre e il nome sulla carta di credito possono essere memorizzati senza la conformità PCI?

Naviga le tue risposte
4

Quindi, se si iscrive stupidamente a un sito utilizzando una carta di credito e poi vieni a pentirsene e ti preoccupi che detto sito sia vulnerabile all'hacking, quali dati possono legalmente contenere senza dover essere conformi allo standard PCI.

Le cose che so sono:

  1. Utilizzano un gateway di pagamento conforme allo standard PCI.
  2. Il proprio server è in una posizione sicura.
  3. Rivendicano di archiviare solo le ultime 4 cifre della carta di credito e solo così i clienti possono rapidamente mettere più soldi sul proprio conto rapidamente senza la necessità di inserire ogni volta dettagli cc completi.

Pensi che questo sia tutto ciò che hanno in mano? Avrebbero anche mantenuto il nome e l'indirizzo per poter eseguire quella transazione?

Scusa se non sono stato chiaro. Questo è ciò che ho ricevuto dalla società quando ho chiesto se potevo cancellare i miei dati personali dal loro database:

Firstly, we are not allowed to store functional credit card data, so we don't. We do store the last four digits as on their own they are meaningless and help us authenticate you when using the quick re-purchase method. Secondly, our upstream payment provider is authorised to store your card data by VISA/MasterCard. As such they are audited annually and have to jump through all the hoops and conformity required by the PCI DSS standard. Thirdly, it is a requirement of any business to keep records of who they're dealing with. Your personal data is being stored so high up the chain that it must be kept. Other companies who claim to delete your data are most likely the first link in the chain or at an entry level. They delete it and probably shouldn't even be storing it, but their upstream provider is required to keep it.

Continuano a fare riferimento a questa email quando chiedo ulteriori chiarimenti sul fatto che loro stessi o solo il gateway di pagamento mantengano il mio nome e indirizzo contro quella carta di credito e l'account che ho creato con loro. Non ho mai dato il mio indirizzo per la consegna solo per i pagamenti in quanto si trattava di un sito di gioco d'azzardo.

    
posta hazard44 05.12.2016 - 17:17
fonte

4 risposte

5

Se un'organizzazione riceve, elabora o memorizza i dati della carta di credito (anche se questo ospita solo un iframe o un modulo di gateway di pagamento), è necessario che sia conforme allo standard PCI. Nota il 'o' qui: uno o più di questi significa che devi essere conforme.

Non ci sono eccezioni a questo.

Potrebbe essere necessario fornire un livello inferiore di conformità, ovvero richiedere meno controlli, ma dovranno comunque valutare il livello richiesto e implementare i controlli richiesti dal livello.

Anche se conservano i dati "in transito" solo per un breve periodo di tempo e non memorizzano mai i dati della carta sul disco, dovranno essere conformi.

Anche in questo caso non si tratta di una sentenza: se raccogli, archivi o elabori i dati di tutte le carte (anche solo "in transito") devi essere conforme.

Ovviamente, quante organizzazioni sono conformi è un'intera altra domanda. L'applicazione non è stata al 100% in passato, anche se questo sta cambiando.

    
risposta data 05.12.2016 - 18:59
fonte
6

È molto probabile, e molto probabilmente, che essi memorizzino - Nome, Indirizzo, Numero di telefono, e-mail e altri dati di contatto e acquisto. Questo è irrilevante per PCI. PCI si occupa dei dati della carta di credito (CHD) e del numero di conto (PAN) e degli altri dati sulla banda mag - compresi i numeri "extra" sul retro della carta e la data di scadenza.

PCI vieta l'archiviazione dei dati della banda magnetica e dei numeri "extra" (per chiunque non sia quello che ne ha veramente bisogno).
PCI consente di memorizzare gli ultimi 4 numeri insieme ad altre parti di dati come un numero di transazione e per ripetere transazioni, il commerciante può anche memorizzare un numero speciale per un singolo commerciante che assomiglia a un numero di carta di credito e funziona allo stesso modo, ma è legato al commerciante.

La maggior parte dei commercianti non vuole l'ira del consiglio del PCI e / o della loro banca e / o delle forze dell'ordine, e farà tutto il possibile per "de-sistemare" i sistemi dall'ambito PCI. Quindi, c'è la domanda se sono conformi al 100%, tuttavia, potrebbero essere "abbastanza" conformi solo con i dati che hai indicato.

    
risposta data 05.12.2016 - 19:19
fonte
1

PCI-DSS consente di archiviare i dati del titolare della carta, il numero della carta di credito e la data di scadenza a patto che sono criptati a riposo e in transito.

Never store full contents of any track from the card’s magnetic stripe or chip (referred to as full track, track, track 1, track 2, or magnetic stripe data). If required for business purposes, the cardholder’s name, PAN, expiration date, and service code may be stored as long as they are protected in accordance with PCI DSS requirements.

Non consente la memorizzazione del codice di verifica o del PIN.

Never store the card-validation code or value (three- or four-digit number printed on the front or back of a payment card used to validate card-not-present transactions).

Never store the personal identification number (PIN) or PIN Block.

Potrebbe essere che memorizzano il numero completo della carta ma ti permettono solo di vedere le ultime quattro cifre.

Be sure to mask PAN whenever it is displayed. The first six and last four digits are the maximum number of digits that may be displayed. This requirement does not apply to those authorized with a specific need to see the full PAN, nor does it supersede stricter requirements in place for displays of cardholder data such as on a point-of-sale receipt.

Link

    
risposta data 05.12.2016 - 20:25
fonte
0

So, if you stupidly sign up to a site using a credit card and then come to regret it and worry that said site is vulnerable to hacking what data can they legally hold without needing to be PCI compliant.

...

I have never given my address for delivery only for payments as it was a gambling website.

Il problema con cui stai lottando non è la conformità PCI, né quello che puoi provare a costringerli a fare per rispettare la conformità PCI, ma piuttosto il fatto che hai usato la tua carta in un sito di gioco d'azzardo e ora desideri non l'hai fatto.

Sorry if I haven't been clear. This is what I received from the company when I asked if I could delete my personal data from their database:

Non c'è nulla nel PCI per costringerli a cancellare i tuoi dati e, come hanno sottolineato, il loro processore upstream - che ha il set completo di dati ed è in ambito PCI - ha il requisito di conservare i record transazionali , che includono cose come il numero della carta e il nome (se inviato).

Per dirla chiaramente, non hai alcuna proprietà della tua cronologia delle transazioni. Quando si invia il proprio nome per acquistare qualcosa, diventa parte della transazione e tale transazione è di proprietà del processore. Il processore deve soddisfare i requisiti del PCI DSS, ovviamente, e deve proteggere i tuoi nomi in base ai regolamenti PII applicabili ...

(Si noti che anche uno stato rigoroso come il Massachusetts con 201 CMR 17.00 non fa menzione di costringendo l'azienda a rispondere alle richieste di cancellazione PII - La legge PII riguarda la punibilità della perdita / uso improprio, non impedisce l'uso).

Hai chiesto loro di cancellare il tuo account; hanno rifiutato e - abbastanza ragionevolmente - hanno sottolineato che anche se lo facessero, non avrebbe risposto alle vostre preoccupazioni. Sono autorizzati a rifiutare. Non puoi costringerli con il PCI.

potresti essere in grado di costringerli con un avvocato, ma questo ti costerà dei soldi.

Se sei preoccupato che qualcuno usi male l'account, segnala il furto della carta di credito e ottieni uno nuovo emesso. Questa è davvero la tua unica protezione.

    
risposta data 05.12.2016 - 21:55
fonte

Leggi altre domande sui tag

Sta usando "SHA-256 con crittografia RSA-2048" un algoritmo di hashing del certificato sicuro? Gli utenti dovrebbero poter reimpostare la propria password su quella corrente?