Possiamo stampare i dati dei titolari di carta sotto la struttura di conformità PCI DSS e rimanere conformi?

3

Ho una domanda riguardante la conformità PCI. Sembra che ci sia una valida esigenza aziendale nella nostra azienda di conservare alcuni dati relativi ai titolari di carte, per transazioni infruttuose. Un esempio potrebbe essere un cliente che effettua una prenotazione alberghiera ma il pagamento non riesce, quindi un agente di supporto può ritentare il pagamento utilizzando i dati del titolare della carta, che fa parte del nostro servizio. Ma non vogliamo memorizzare i dati di titolari di carta in formato digitale. In questo caso vogliamo stampare i dati del titolare della carta per un uso successivo e distruggere la carta in modo sicuro entro 3 giorni. Non sarà possibile memorizzare digitalmente i dati della carta sui loro sistemi. Rendendoci più facile il rispetto dei requisiti PCI.

Quanto sopra è consentito dalla normativa PCI? Credo che tu possa farlo finché è attiva la sicurezza fisica e solo gli utenti con esigenze aziendali legittime possono accedere. Quale sarebbe il motivo corretto per farlo?

    
posta Rup 14.09.2012 - 11:26
fonte

2 risposte

5

Sarà consentito solo se sei conforme in altre aree.

PCI DSS non copre solo l'archiviazione digitale dei dati, ma anche la trasmissione, l'archiviazione fisica e la distruzione dei dati.

  1. In che modo l'agente ottiene i dati del titolare della carta?
  2. Come vanno i dati alla tua stampante?
  3. Come e dove vengono memorizzati i dati per tre giorni?
  4. Come vengono distrutti i dati?
risposta data 14.09.2012 - 13:16
fonte
3

Se si stampano i dati completi del titolare della carta, è necessario aderire al PCI-DSS per tali stampe, inclusa la protezione fisica. Dalle Domande frequenti sulla Guida alla conformità PCI :

PCI DSS requirement 3.3 states "Mask PAN when displayed (the first six and last four digits are the maximum number of digits to be displayed).” While the requirement does not prohibit printing of the full card number or expiry date on receipts (either the merchant copy or the consumer copy), please note that PCI DSS does not override any other laws that legislate what can be printed on receipts (such as the U.S. Fair and Accurate Credit Transactions Act (FACTA) or any other applicable laws). See the italicized note under PCI DSS requirement 3.3 “Note: This requirement does not apply to employees and other parties with a specific need to see the full PAN, nor does the requirement supersede stricter requirements in place for displays of cardholder data (for example, for point of sale (POS) receipts).” Any paper receipts stored by merchants must adhere to the PCI DSS, especially requirement 9 regarding physical security.

Ricorda che non ti è mai permesso di memorizzare il CVV, quindi non pensare nemmeno a stamparlo.

Se fossi in te, sarei preoccupato per la corretta distruzione dei dati stampati. È difficile fare bene, ed è davvero difficile farlo per un lungo periodo di tempo.

Una soluzione più tecnica sarebbe quella di crittografare i dati usando una chiave pubblica, e affidare la metà della chiave privata della coppia su un sistema separato (se possibile, con l'airgapp). La cosa bella della crittografia è che significa che i tuoi dati sono già "triturati" se qualcuno li prende in mano. Sì, ti costerà di più in anticipo per i costi di sviluppo. Probabilmente lo guadagnerai in un anno di stampa e triturazione delle bollette, però.

    
risposta data 14.09.2012 - 15:39
fonte

Leggi altre domande sui tag