Dettagli della carta di credito mostrati per intero dopo il pagamento sul negozio online

Non è conforme PCI (corsivo aggiunto):

Never store the personal identification number (PIN) or PIN Block. Be sure to mask PAN whenever it is displayed. The first six and last four digits are the maximum number of digits that may be displayed. This requirement does not apply to those authorized with a specific need to see the full PAN, nor does it supersede stricter requirements in place for displays of cardholder data such as on a point-of-sale receipt.

Mi vengono in mente due minacce:

• Spalla Surf

• cache del browser

No davvero, mostrare il PAN al cliente - che già sa cosa sia - non è una violazione di PCI DSS. E 'abbastanza inutile e cattiva pratica, ma non aumenta il numero di persone che hanno accesso al PAN (il numero della carta è noto al cliente che l'ha appena inserito) e non porta più componenti in PCI DSS ambito (perché tutto ciò che viene utilizzato per visualizzare il PAN è stato appena utilizzato per accettarlo) e il PC / browser del cliente non è nel campo di applicazione del commerciante.

Tuttavia, probabilmente rompe le singole regole dello schema delle carte, che in genere dicono che "le ricevute del cliente devono mostrare solo il massimo delle prime sei e ultime quattro cifre del PAN" - e ciò per impedire che le ricevute dei clienti vengano gettate via nella spazzatura e raccolto da immondizia con cassonetto.

Pessima programmazione, cattivo UX perché non è necessario mostrare qualcosa a qualcuno che già lo conosce (data la transazione avvenuta con successo non è necessario che il cliente veda il numero di carta inserito) e una violazione di Visa / MCW / Amex regole. Non una violazione di PCI DSS: il browser del cliente non è incluso nello scope del commerciante ..