Memorizzazione dei dati della carta di credito del cliente per l'elaborazione manuale successiva

4

Per una soluzione che stiamo sviluppando per il settore dell'ospitalità, dobbiamo salvare le informazioni relative alla carta di credito dei clienti e mostrarle all'hotel per consentire loro di elaborare manualmente il pagamento in un secondo momento.

Ho letto tutte queste domande e risposte:

  1. Memorizzazione dei dati della carta di credito per l'elaborazione manuale successiva
  2. Archiviazione dei dati della carta di credito per conto dei clienti: e trasferimento dei dati più tardi

La risposta è più o meno "no, non puoi farlo". Ma la cosa è, questo è più o meno come funziona nel settore dell'ospitalità, e io che dico "no, non puoi farlo" in pratica significa non essere in grado di vendere la nostra soluzione agli hotel.

Conosco molti fornitori di motori di prenotazione alberghiera che memorizzano le informazioni CC per l'hotel da visualizzare e elaborare manualmente. I miei clienti dell'hotel mi dicono anche che fa booking.com. Il problema è che possono visualizzare le informazioni della carta di credito solo una certa quantità di volte prima che svaniscano.

Questa clausola "solo visibile un certo periodo di tempo prima di scomparire" modifica la situazione? C'è un modo per aggirare questo per vendere soluzioni agli hotel senza infrangere la legge e metterci in pericolo (oltre a processare il denaro attraverso un gateway di pagamento noi stessi, anche gli hotel non lo vogliono)?

    
posta hattenn 08.10.2017 - 10:56
fonte

1 risposta

2

PCI DSS non proibisce la memorizzazione del numero di conto primario (PAN). Il PAN memorizzato deve solo essere protetto per il requisito 3S DDI PCi.

È inoltre possibile memorizzare il valore CVV2 con PAN fino a quando il pagamento non è stato autorizzato, e in tale fase è necessario eliminare in modo sicuro qualsiasi CVV2 memorizzato. I servizi di prenotazione di maggio lo faranno automaticamente dopo la prima notte della prenotazione, poiché la società di prenotazione dipende dall'hotel per comunicare che la transazione è stata autorizzata.

Puoi continuare a memorizzare il PAN finché hai un criterio di conservazione giustificabile e rimane protetto per requisito 3.

Ovviamente - dovrai rispettare PCI DSS ed essere valutato come fornitore di servizi, e dovresti capire che criminali come le aziende con repository di PAN e CVV2 perché sono buoni dati da rubare - quindi tu (come tutte le prenotazioni di questo tipo) intermediari) sarà un obiettivo.

MA questi non sono nulla all'interno di PCI DSS che impedisce il modello di business che hai descritto.

    
risposta data 12.10.2017 - 10:04
fonte

Leggi altre domande sui tag