Memorizzazione dei numeri delle carte di credito per i pagamenti aziendali

Nel mio lavoro con PCI, non ho affrontato questa domanda, ma la mia comprensione è che dipende dall'emittente, dal marchio e dal contesto aziendale.

Visa e MC in passato hanno considerato il PCI a livello aziendale per applicare a tutti i PAN l'azienda ha visibilità come parte della sua attività, comprese le carte aziendali emesse. L'Amex a volte no.

Consiglierei di contattare il tuo consulente e il tuo emittente per capire che cosa dice il tuo accordo di rilascio e quali sono le loro opinioni pratiche.

Indipendentemente dal fatto che PCI si applichi o meno, consiglierei anche di contattare il tuo team di sicurezza per organizzare una soluzione che consenta lo stoccaggio separato dei PAN al di fuori del loro riferimento nei comuni sistemi di dati aziendali come email, attività e calendario per soddisfare i casi d'uso che hai accuratamente, chiaramente e utilmente delineato.

Ciò può assumere la forma di una soluzione di gestione segreta a livello aziendale, che non si applica specificamente alle carte di credito, ma che supporta la separazione e la memorizzazione di informazioni sensibili in modo che, ad esempio, email / attività / calendari possano dire "usa la scheda # 25 per questo" piuttosto che "usa PAN 5555 ... expiration xx / yy per questo".

Se parli delle tue carte di credito di proprietà dell'azienda, questo non ha nulla a che fare con la conformità PCI. A nessuno importa come archiviare le tue carte delle organizzazioni. Diamine, puoi tenere le foto di loro in un album di foto di Facebook per tutto il mondo, e nessuno ti chiederà di fermarti o multato (anche se la tua banca potrebbe negare la responsabilità e costringerti a pagare il conto se violerai i loro termini di servizio).

La conformità PCI riguarda l'archiviazione delle carte di credito degli altri in modo che tu possa fatturarle per i servizi che ti richiedono. Ci sono molti servizi che forniscono l'archiviazione della carta di credito conforme allo standard PCI per tali scopi (Stripe è solo un esempio) ma nessuno di questi servizi funzionerà per te perché tutti nascondono esplicitamente i dettagli della carta di credito (questo è il punto dopo tutto). In sostanza lo scambio con il processore CC assomiglia a questo: si desidera fatturare la carta di credito di Bob per qualcosa che vorrebbe acquistare, il processore CC quindi parla direttamente a Bob per ottenere il numero della carta di credito, e poi si dice al processore come molto da fatturare. Non hai mai effettivamente la carta da te e il processore non condividerà mai i dettagli con te.

Questo è ovviamente completamente diverso da quello che vuoi. Queste sono le tue carte di credito, quindi non è il caso di nascondere i dettagli da te stesso - vuoi solo memorizzarli in modo sicuro. Questo non è il posto per le raccomandazioni sui prodotti, ma penso che tu abbia la tua risposta comunque: cose come i gestori di password o simili sono una scelta perfettamente ragionevole perché non devi preoccuparti della conformità PCI con le tue carte di credito. In effetti, la conformità PCI non ha nemmeno senso qui.

Gli altri commenti sono chiari. Tecnicamente si tratta di "rischio emittente", quindi è possibile verificare il contratto stipulato con chi ha emesso le carte o chiedere a loro. L'importante considerazione è che se questi dettagli della carta fossero stati compromessi e utilizzati in modo fraudolento, sarebbe tecnicamente una tua responsabilità per non aver preso adeguata sicurezza. Quindi, dal punto di vista della sicurezza delle informazioni, valutare il rischio e quindi adottare la sicurezza appropriata (e ignorare la conformità PCI DSS). In molti posti che ho consultato, un gestore di password era la risposta giusta.

Inoltre ci sono delle FAQ davvero inutili sul sito web PCI SSC: link