PCI Complient Memorizzazione dei dati della carta di credito sul tablet offline

3

Ho un cliente che lavora in aree rurali dove non ci sono connessioni per cellulare o internet. Hanno bisogno di un modo per prendere informazioni sulla carta di credito sul campo, riportarlo nel loro ufficio dove possono caricare il cliente.

Ho uno sfondo abbastanza significativo in database, networking e programmazione, ma non ho mai scritto un sistema che memorizzi le informazioni della carta di credito.

I dati verranno crittografati con AES, memorizzati in un database sul tablet e successivamente cancellati dal tablet una volta che sono stati riportati in ufficio.

Dato che questo è tutto offline, e mai connesso a Internet, questo rientra nell'ambito degli standard PCI, è accettabile, o dovrei consigliare al mio cliente di guardare altre opzioni?

    
posta user273074 20.01.2014 - 02:30
fonte

1 risposta

1

Come puoi leggere nei PCI_DSS punti 3.1 e 3.2 puoi memorizzare queste informazioni se è necessario i tuoi affari.

Troverete nel punto 3.2.1 le informazioni che devi memorizzare e, come puoi leggere nella sezione 3.1.1, purché tu disponga di politiche e procedure per trattare le informazioni in modo sicuro ed eliminarle in modo sicuro, il tuo il sistema sarà compatibile con PCI_DSS.

Nella sezione 3.5 troverai anche le regole che devi seguire per assicurarti che la password / chiave che usi per cifrare / decifrare siano usate in modo sicuro.

Per farla breve, se si manipolano le informazioni della carta di credito in un modo sicuro (e normativo) e si conserva solo il tempo necessario per utilizzarle, non c'è alcun problema nel farlo.

    
risposta data 20.01.2014 - 08:17
fonte

Leggi altre domande sui tag