Richiede agli utenti di compilare un PDF con le informazioni CC e spedirlo indietro violando la conformità PCI?

3

Sto tentando di effettuare un ordine con un'azienda americana e risiedo fuori dall'America. Dopo aver effettuato l'ordine (e già inoltrando il pagamento) ho ricevuto un'e-mail che mi chiedeva di compilare un documento PDF per verificare la mia identità e prevenire frodi con carte di credito da carte di credito straniere.

Questo documento ti chiede di inserire nuovamente i dati della tua carta di credito, nonché di fotocopiare l'ID del tuo governo e la parte anteriore e posteriore della carta di credito. Dopo averlo riempito, ci si aspetta che scansioni il PDF e lo rispedisca.

Sicuramente questa non può essere una pratica sicura. Non si fa menzione di una politica sulla privacy o di chi ha accesso all'account e-mail che si suppone debba essere inviato, né fa menzione delle politiche di archiviazione.

Si tratta di una violazione del PCI (o di simili standard di conformità)?

    
posta DKNUCKLES 06.11.2012 - 22:49
fonte

3 risposte

2

Sì, ciò sarebbe in contrasto con il requisito PCI 4.1 ("Utilizza crittografia avanzata e protocolli di sicurezza per salvaguardare i dati sensibili dei titolari di carta durante la trasmissione su reti pubbliche aperte").

La gestione della posta a destinazione è molto probabile che contravvenga a molti più requisiti, tra cui il requisito 3.2.2 ("Non memorizzare il codice o il valore di verifica della carta").

Se questa azienda è un commerciante e quindi soggetta a PCI, non riesco a vedere alcun modo in cui potrebbero essere conformi - non penso che ci possano essere controlli di compensazione plausibili per questo genere di cose.

    
risposta data 08.11.2012 - 12:09
fonte
3

Perché non chiedi informazioni sulla loro politica sulla privacy? Sarebbe l'unico modo per risolvere questo aspetto della domanda.

Mi aspetto che la banca o la società emittente della carta di emissione siano le persone migliori per chiedere se la richiesta è conforme, hanno la conoscenza, l'autorità e la responsabilità e puoi verificare la loro identità. I commentatori qui nel migliore dei casi saranno in grado di riferirti a un documento standard, che dovrai leggere, e quindi preoccuparti se la tua interpretazione è accurata.

Riguardo alla pratica stessa - sì, penso che sia rischioso. Valutare quanto male è necessario acquistare il prodotto da quel fornitore. Le carte di credito possono sempre essere cancellate, ma ci possono essere molte informazioni su un ID di governo che non dovrebbe circolare in un data store di qualcun'altro.

    
risposta data 06.11.2012 - 23:11
fonte
0

Inviare via e-mail i dati dei titolari di carta su Internet è una violazione di PCI DSS perché l'e-mail non è una forma sicura di comunicazione. La pratica di compilare il modulo PDF con le tue informazioni sensibili e caricarla tramite FTP o fax, tuttavia, NON è una violazione del PCI. Ma qui ci sono le domande, cosa fanno e come gestiscono quel documento una volta ottenuto? Sono conformi PCI? Hanno una procedura operativa standard per redigere i dati sensibili una volta completata la transazione. Ecco un collegamento al sito Web sugli standard di sicurezza del settore delle carte di pagamento ed ecco un'intera sezione su PCI DSS .

Sulla base delle informazioni fornite, non credo che questa azienda sia conforme allo standard PCI e non trasmetterei le mie informazioni a loro.

    
risposta data 02.04.2015 - 15:52
fonte

Leggi altre domande sui tag