È compatibile PCI generare un token per ogni carta utilizzata per l'elaborazione, indipendentemente dal fatto che il cliente abbia chiesto che la sua carta sia salvata o meno?
È compatibile PCI generare un token per ogni carta utilizzata per l'elaborazione, indipendentemente dal fatto che il cliente abbia chiesto che la sua carta sia salvata o meno?
Risposta breve: Sì, è conforme PCI.
Risposta lunga:
Il PCI DSS richiede che i dati della carta vengano "resi illeggibili ovunque siano archiviati"; crittografia e tokenizzazione sono i due metodi più comuni. Ma tutto ciò che la tokenizzazione fa è fornire un modo per fare riferimento ai dati della carta senza alcuni posti che memorizzano i dati delle carte. Viene spesso utilizzato per consentire a un commerciante di memorizzare e manipolare token consegnati dal loro processore; il processore sta ancora memorizzando i dati della carta (crittografati) ma ha generato quel token per consentire al commerciante di "usare" la carta senza "avere" la carta. Non avrebbe molto senso che una singola entità generasse token per il proprio uso; i token funzionano solo quando fanno riferimento a dati di carte memorizzati e, se si memorizzano i dati delle carte, la generazione di token personalizzati non altera il campo di applicazione.
Il PCI DSS non tratta la domanda del cliente che chiede che la carta sia archiviata o meno. Quando un cliente utilizza una carta di credito, accetta implicitamente che i dati della sua carta saranno archiviati da uno o più parti intermedie durante e dopo l'autorizzazione della carta di credito e il processo di pagamento. Anche se tali requisiti non fanno parte di PCI DSS, i registri delle transazioni con carta di credito devono essere archiviati abbastanza a lungo da supportare le controversie sulle carte e gli scopi di chargeback. Ciò include il numero della carta: è necessario il numero della carta per gestire una richiesta di storno. La capacità del cliente di dire "Ehi, non l'ho comprato" e ottenere indietro i loro soldi è uno dei servizi a valore aggiunto che l'uso di una carta di credito fornisce e i dati delle carte devono essere memorizzati affinché ciò accada. p>
Non hai specificato quale entità coperta da PCI sei interessata. I commercianti possono evitare di dover conservare le carte usando strumenti come la tokenizzazione. I processori generalmente hanno bisogno di memorizzare le carte. Altri "fornitori di servizi" possono o non possono aver bisogno di conservare le carte; dipende dal servizio che forniscono.
Se sei preoccupato per il POV di un cliente, non puoi davvero fare molto. Trattate solo con il commerciante, che passa la carta attraverso un minimo di 1 e forse più di 1 altra entità durante l'atto di elaborazione. Tutti loro sono autorizzati a memorizzare i dati finché lo proteggono come dettato dal PCI DSS. L'unico modo per rinunciare è usare denaro contante.
Leggi altre domande sui tag credit-card pci-dss pci-scope