Conservazione delle carte di credito da utilizzare per gli acquisti per conto del cliente

3

Il mio cliente effettua fisicamente acquisti online (attraverso vari siti Web) per conto del suo cliente utilizzando le sue carte di credito. I suoi clienti hanno sostanzialmente detto "ecco la mia carta di credito, compra quello che ti serve". Attualmente, presumo che abbia i dettagli della carta di credito del cliente memorizzati localmente in un file sul suo computer.

Vorrebbe centralizzare le informazioni della carta di credito in modo che possa delegare l'attività di acquisto a un altro dipendente pur essendo ancora in grado di accedere e mantenere aggiornate le informazioni della carta stessa.

Qualcuno può raccomandare un modo sicuro per farlo?

    
posta Lauren 19.11.2013 - 22:11
fonte

4 risposte

3

Da quello che hai detto, chiaramente non capisce l'enorme entità del rischio che ha preso con questo. Suppongo che se sta facendo shopping per altre persone, quelle altre persone sono benestanti e hanno un alto limite di dollari (possibilmente illimitato) carte di credito. Deve essere consapevole che se questi dati vengono rubati, sarà personalmente ritenuto responsabile di tutte le frodi commesse.

Se ha le carte di 10 milioni di dollari, ha bisogno di trattare questi numeri di carte come se fossero diamanti da 10 milioni di dollari. Dovrebbe tenerli su un pezzo di carta, chiuso in una cassastrong. Se dovessi chiedere a uno dei miei dipendenti di utilizzare una carta, li farei venire nel mio ufficio e chiedermi di digitare il numero della carta per loro, invece di dare i numeri della carta.

Qualche altra brutta notizia è che se una delle carte dei suoi clienti viene rubata da qualche altra parte (in un ristorante o in una schiumarola a pompa di benzina), e se Visa impara che ha memorizzato questi numeri di carta, potrebbe ritenersi responsabile comunque - - anche se non ha avuto nulla a che fare con il vero furto o frode.

Facilitare l'accesso dovrebbe essere l'opposto di ciò che vuole. Dovrebbe invece essere paranoico su chi può arrivare a questa lista.

Dal momento che gli mancano le basi di sicurezza (dimostrato dal non riuscire a capire il valore di ciò che gli è stato affidato) dubito ulteriormente della sua capacità di mantenere un ambiente informatico sicuro. Deve capire che non può permettersi di affidare queste informazioni a un computer che potrebbe essere compromesso in cambio di un po 'di comodità.

    
risposta data 21.11.2013 - 17:52
fonte
1

Questa è quasi una questione regolamentare o procedurale piuttosto che tecnica. Spesso, il commerciante non è tenuto a memorizzare gran parte di questi dati (in particolare roba come il codice CVV2), altrimenti sarà tenuto a rispettare qualcosa come PCI-DSS, quindi supponendo che il cliente sia l'acquirente ( ad esempio se possiede un conto commerciale ed elabora i pagamenti), dovrebbe probabilmente discuterne con il suo processore e assumere un consulente qualificato per diventare conforme.

In generale, non dovresti farlo affatto se puoi evitarlo. Tuttavia, se assolutamente necessario, alcune strategie implicano la crittografia dei dati in qualche modo e l'archiviazione in una posizione in cui è difficile raggiungerla da Internet (come un computer offline o un computer su una rete ristretta di qualche tipo) . È ancora meglio se ciascuna scheda può essere crittografata individualmente, eventualmente con un po 'di sale per ostacolare la crittanalisi, con una chiave che è in un HSM da qualche parte che esiste solo quando necessario.

Mi rendo conto che questo dipinge a grandi linee, ma se stai cercando una soluzione chiavi in mano per questo, sei un po 'fuori dalla tua profondità.

    
risposta data 21.11.2013 - 11:34
fonte
0

Il modo più semplice che posso immaginare per proteggere i dettagli della carta di credito è di scriverli su carta e conservarli in un archivio chiuso. Quindi può rimuoverli dal suo computer.

    
risposta data 21.11.2013 - 11:21
fonte
0

Se hai intenzione di archiviare i dati della carta cliente, sarai coperto dalle normative PCI (Payment Card Industry) che richiedono che i dati della carta siano archiviati in modo sicuro e che i tuoi sistemi siano controllati.

C'è molto da fare ma potresti iniziare da qui. link

In sostanza dovresti considerare attentamente se hai davvero bisogno di farlo o se è più sicuro e meno costoso pagare una terza parte per gestire le tue transazioni.

    
risposta data 27.01.2014 - 10:45
fonte

Leggi altre domande sui tag