Dai commenti sembra che la tua domanda sia essenzialmente questa: perché la documentazione cartacea di una transazione viene trattata in modo diverso rispetto alle risposte elettroniche o alla documentazione di una transazione, almeno in termini di quei documenti che contengono PAN completi e non criptati? (Significato dei numeri di carte di credito e di debito completi, non mascherati.)
Bene, la mia prima risposta è semplicemente questa: idealmente i commercianti non dovrebbero mantenere materiali con PAN completi su di essi, anche in forma cartacea. Sebbene i Requisiti PCI che si applicano ai commercianti SAQ-A non proibiscano di avere numeri di tessera chiara visibili sulla documentazione cartacea, impongono requisiti a cui è necessario prestare attenzione in termini di creazione, conservazione, gestione, utilizzo e distruzione di tali documenti cartacei. Per informazioni più complete su tali requisiti, vedere " Possiamo stampare i dati dei titolari di carta secondo il framework PCI DSS Compliance e rimanere conformi ?" Ma la linea di fondo è che creare, archiviare o anche solo ricevere materiali stampati con dati PAN completi al loro meglio crea più problemi di compliance e sicurezza per voi, e nel peggiore dei casi, naturalmente, aumenta il rischio che i dati delle carte vengano compromessi. Quindi, a meno che tu non abbia davvero una speciale, inevitabile necessità di ricevere e memorizzare temporaneamente i numeri delle carte su carta dal tuo processore (e sinceramente la mia mente è offuscata nel pensare a qualsiasi scenario dove ciò sia vero) il modo migliore di procedere è semplicemente non per riceverli o conservarli affatto. E francamente se hai a che fare con un processore di pagamenti che ti sta inviando materiale cartaceo con PAN completi senza un motivo eccezionalmente buono ti consiglio caldamente di dare un'altra buona occhiata se vuoi bastone con quel processore.
In secondo luogo, se stiamo riflettendo sulla ragione per cui potresti essere autorizzato a memorizzare numeri di carta chiari su carta quando ti è vietato farlo elettronicamente, la risposta è abbastanza semplice: la Internet è un luogo pericoloso e qualsiasi macchina collegata ad esso è esposta a tale pericolo. Qualsiasi macchina o rete che abbia una connessione elettronica da un punto di vista psichico è esposta, in (in teoria) a un attacco elettronico da parte di uno qualsiasi dei due miliardi di persone che ora hanno accesso ad esso, da ogni angolo del mondo. Instancabili strumenti di scansione automatizzata o umani attaccanti che controllano la sicurezza di ogni commerciante di cui sono a conoscenza dell'esistenza di possono controllare il router che lega la piccola rete a Internet per problemi di configurazione della sicurezza. Problemi che possono consentire a malintenzionati di accedere a tutti i componenti della rete come se si trovassero fisicamente nell'edificio / i e collegarsi con un cavo Ethernet o connettersi al wifi. Le campagne di phishing automatizzate bombardano centinaia di migliaia o milioni di utenti con e-mail che contengono collegamenti che portano a siti Web che servono malware o sono dotati di file allegati infetti. In entrambi i casi, un utente malintenzionato ottiene nuovamente l'accesso alla rete interna o, peggio, è in grado di ottenere una copia di qualsiasi numero di carta immesso in una macchina infetta o anche qualsiasi numero di carta che tieni presente nella sua memoria , anche per pochi secondi.
Al contrario, i documenti cartacei semplicemente non sono così esposti ai cattivi allo stesso modo e allo stesso modo. Solo le persone che sanno di conservare i dati e dove possono tentare deliberatamente di rubarli, una situazione molto diversa - sebbene ancora preoccupante - rispetto a una situazione in cui i PAN sono tenuti come informazioni elettroniche su un dispositivo che può interagire con una rete che due miliardi di persone. (E ci sono un sacco di scansioni elettroniche eseguite da cattivi attori, alla ricerca di sistemi debolmente difesi e di dati finanziari protetti in modo improprio su di loro.) Detto questo, come discusso sopra, la pratica migliore, di gran lunga, non è quella di memorizzare numeri di carta non cifrati ovunque nelle tue operazioni, sia in formato elettronico che cartaceo.