Se un commerciante invia un numero di carta non valido alla banca, la banca dovrà garantire che le informazioni siano conformi allo standard PCI?
Se una carta non valida è stata esposta, chi è a rischio e la cui data è stata esposta? Poiché non è una carta valida, non esiste un "titolare della carta".
Nell'introduzione del PCI DSS 3.0 :
The Payment Card Industry Data Security Standard (PCI DSS) was developed to encourage and enhance cardholder data security and facilitate the broad adoption of consistent data security measures globally. PCI DSS provides a baseline of technical and operational requirements designed to protect cardholder data.
Se è un codice non valido perché LUHN non passa, non inizia con un identificatore bancario valido, non può essere rilasciato a un cliente. Probabilmente non su qualsiasi pezzo di plastica con un logo del marchio della carta. Solo PCI si applica alle carte con un logo del marchio .
Tuttavia, se la stessa fonte (commerciante) può inviare sia carte non valide che non valide, dovrebbe presumere che i numeri delle carte siano validi fino a quando non siano controllati, il che significa che le normali protezioni di crittografia, ecc. dovranno essere seguite. Se per qualche motivo hai un canale separato per numeri non validi, numeri di test non emettibili, quelli non dovrebbero rientrare in PCI, tuttavia, con tutto in PCI, controlla sempre il tuo QSA amichevole.
Consentitemi di rispondere alla vostra domanda con un esempio diverso.
È probabile che qualsiasi fornitore di servizi PCI (ad esempio processori, servizi di frode, ecc.) utilizzi numeri di carte di prova. I numeri delle carte di prova avranno validi Luhn Algorithm (mod 10) numeri e persino IIN validi (apparentemente BIN ora è chiamato IIN ! Chi lo sapeva?). Il nome associato e le informazioni sulla scadenza, se presenti, verranno compilate e presumibilmente non corrisponderanno alle coppie di carte / nome effettivamente emesse.
Potrebbero essere numeri di carte reali. Potrebbe succedere che la scheda di test 4111111111111111 con il nome "Test User" abbia lo stesso numero della scheda reale ed emessa 4111111111111111 "Randy Waterhouse". Quando generi numeri di test conformi alle regole, non c'è nulla che ti impedisca di ottenere lo stesso numero di una carta valida.
Il PCI-DSS non è esplicito sullo stato di questi numeri - in generale, i numeri di test numericamente validi sono scoraggiati dalla mancanza di approvazione o dalla guida dei marchi delle carte. In termini reali, tuttavia, non rientrano nello scope e nei requisiti PCI: non è necessario che siano crittografati su disco, ad esempio.
Ma ecco la chiave -
Quando il QSA viene a controllare l'organizzazione, cercheranno i numeri delle carte. E troveranno quei numeri di test. E richiederanno una sorta di convincimento che siano, in effetti, numeri di test e non esempi di numeri pubblicati. Vogliono vedere chiaramente nomi non validi, auditing e logging che li convinano della provenienza fasulla dei numeri, o alcune prove che l'organizzazione ha un modo per mantenere separati i dati dei test dai dati reali.
Quindi, solo perché i numeri dei test non rientrano nell'ambito PCI, ciò non significa che puoi ignorare PCI per quanto riguarda loro. Proprio come ha detto @ eric-g, l'organizzazione deve "presumere che i numeri delle carte siano validi fino a quando non sono spuntati" e, se sono numeri numericamente validi, "spuntato" significa di più.
Leggi altre domande sui tag credit-card pci-dss