Metodo conforme PCI DSS per ricevere i dati delle carte per un commerciante senza memoria elettronica

Naviga le tue risposte
2

Il commerciante in questione non ha una memoria elettronica dei dati del titolare della carta.

Attualmente ricevono CHD (no CVV) in modi non sicuri e lo memorizzano su carta per eseguire pagamenti tramite transazioni POS non presenti sulla carta.

Quale è una possibile soluzione per ricevere in modo sicuro questi PAN e dettagli, considerando che li memorizzeranno fisicamente in base al requisito 9 dello standard PCI DSS?

Grazie per le tue risposte.

    
posta Luvcarft 06.12.2017 - 17:36
fonte

1 risposta

1

Di seguito sono riportate alcune best practice per l'archiviazione della carta con CHD in modo conforme. Nota: questo indirizzo affronta solo la gestione e l'archiviazione della carta, non il modo in cui il CHD viene ricevuto in modo "non sicuro".

  • Stabilire una politica di conservazione dei record. La politica deve indicare cosa viene archiviato, come verrà archiviato, per quanto tempo verrà archiviato e la disposizione della carta alla fine del periodo di conservazione. La politica dovrebbe seguire il DSS per quanto riguarda la mancata archiviazione di CHD dopo l'autorizzazione, la triturazione trasversale, ecc.
  • Stabilire una procedura di conservazione dei record. La procedura dovrebbe delineare i passi da seguire per soddisfare i requisiti della politica, in particolare in merito alla gestione e alla distruzione della carta.
  • Stabilisci una politica della scrivania pulita in cui i documenti con CHD non possono essere lasciati sulla scrivania quando una persona non è alla propria scrivania.
  • Pensa a tutta la vita della carta con CHD - stampa, movimento, conservazione, seduta sui banchi, prima dell'autorizzazione, dopo l'autorizzazione, lo smaltimento, ecc.
  • Operativamente, ecco alcuni suggerimenti:
    • Avere un armadietto chiuso con persone definite con la chiave del cabinet.
    • Dopo l'autorizzazione, oscura il PAN con un grosso segnalino magico. Se la carta non è più necessaria dopo l'autorizzazione, distruggetela. Se è necessaria la carta, conservarla nell'armadietto chiuso a chiave. A volte le persone possono anche fotocopiare la carta dopo la redazione (e distruggere l'originale) per eliminare completamente PAN.
    • Nell'armadietto chiuso a chiave, è necessario disporre di un foglio di tracciamento per tracciare quando la carta è stata inserita e quando è stata rimossa e distrutta. L'ho visto dove i documenti di un giorno sono nella stessa cartella nell'armadietto. Ciò semplifica l'applicazione della politica di conservazione dei record dal momento che tutto ciò che il dipendente deve fare è prendere la cartella obsoleta e distruggere il contenuto.
    • Se viene utilizzata un'azienda di triturazione di terze parti, è necessario assicurarsi che la società di triturazione sia conforme PCI.
risposta data 10.01.2018 - 17:53
fonte

Leggi altre domande sui tag

Le installazioni COMET sono immuni al DoS di "Slow TCP Reading" su Windows? (Come SignalR o WebSync) Cosa si può fare per rafforzare le reti tipiche dei consumatori?