Il mio cliente ha inviato a se stessa i dettagli della sua carta di credito e mi ha dato accesso alla sua e-mail condividendo il nome utente e la password. Vuole che acquisti biglietti aerei, oggetti, per suo conto, usando la sua carta. Non memorizzerò nessuno dei suoi dettagli sul mio sistema. Inoltre, non addebiterò la sua carta per i servizi delle mie società. La mia azienda deve ancora essere compatibile con PCI con questa configurazione?
Ecco i servizi relativi a PCI che stai fornendo a questo client:
Basato sulla definizione PCI SSC di un fornitore di servizi, potresti considerare di agire come fornitore di servizi per questo cliente:
[A service provider is a] business entity that is not a payment brand, directly involved in the processing, storage, or transmission of cardholder data on behalf of another entity. This also includes companies that provide services that control or could impact the security of cardholder data.
La tua azienda deve decidere se vuole assumersi il rischio di agire come fornitore di servizi per questo cliente. Come indicato nei commenti, ci possono essere altri modi per eseguire i servizi richiesti senza dover avere il numero di carta del cliente.
Stai pianificando questo meccanismo per tutti i tuoi clienti? Inoltre, come azienda, dovresti rifiutare tali richieste dai clienti e istruirla sul rischio potenziale di condividere account e password di posta elettronica che qualcuno può utilizzare per recuperare le password utilizzando la funzionalità "Password dimenticata" su quasi tutti i siti web. Anche PCI si applica se si archiviano i dati del titolare della carta nella configurazione e non si devono mai memorizzare informazioni come CVV ecc. Sul retro della carta. Supponendo che tu non stia memorizzando queste informazioni da nessuna parte nell'infrastruttura controllata e che le informazioni sensibili siano con il fornitore di soluzioni di posta elettronica e presumibilmente sotto il controllo del Cliente, potresti ottenere la conformità PCI, ma in caso di controversia potresti risolvere problemi più grandi. Anche questo non sembra essere una soluzione aziendale scalabile per me o una pratica etica.
Potresti trovarlo strano, ma tecnicamente poiché agisci come agente del titolare della carta, non è necessario che tu rispetti PCI DSS. Non si è obbligati contrattualmente a una banca acquirente (commerciante) oa una carta che potrebbe obbligare contrattualmente a rispettare. Se il tuo cliente era preoccupato per la sicurezza dei dettagli della sua carta, potrebbe richiedere di rispettare PCI DSS (ma dato quello che hai detto non credo che la sicurezza sia in primo piano nella sua mente).
Come dice @schroeder, questi tipi di servizi di portineria sono piuttosto comuni.
Dici che non dovrai pagare la carta per la fornitura del tuo servizio. Questo è positivo perché se lo facessi allora saresti un commerciante e si applicherebbe PCI DSS.
Leggi altre domande sui tag pci-dss