Memorizzazione dei numeri delle carte di credito per i pagamenti aziendali

1

Esiste un obbligo aziendale di memorizzare i numeri delle carte di credito per conto degli utenti finali nell'azienda per i casi di utilizzo riportati di seguito.

Attualmente questi utenti memorizzano i numeri delle carte di credito in posizioni non sicure come Microsoft Sticky Notes, attività Microsoft Outlook, ecc.

Esistono politiche aziendali che non consentono l'archiviazione dei numeri delle carte di credito, compresa la conservazione di copie stampate.

Per supportare gli utenti finali nell'organizzazione nei casi d'uso sottostanti, quali sono le opzioni per archiviare le carte di credito in modo sicuro senza compromettere la conformità PCI-DSS?

Ad esempio, ci sono servizi compatibili con PCI-DSS che abilitano l'archiviazione delle carte di credito? Funzionalità aggiuntive come la possibilità di completare automaticamente una pagina di pagamento sarebbe un vantaggio.

Un post precedente aveva suggerito l'uso di gestori di password tuttavia questi servizi non sono conformi allo standard PCI-DSS.

Caso di primo utilizzo

In qualità di amministratore personale di una collezione di Dirigenti, sono tenuto a prenotare luoghi, voli, alloggio ed eventi. Questi servizi richiedono l'utilizzo di una carta di credito per il pagamento. Poiché sono un amministratore personale di diversi dirigenti, sono anche il custode delle loro carte di credito. Attualmente utilizzo Microsoft Sticky Notes.

Caso di secondo utilizzo

Come imprenditore all'interno dell'organizzazione, mi viene rilasciata una carta di credito aziendale. Uso la carta di credito per effettuare pagamenti online per i servizi cloud. Attualmente memorizzo il numero della carta di credito in un documento Microsoft Word salvato in OneDrive. Questo per consentirmi di accedere ai dettagli della carta se non ho accesso alla scheda fisica.

Caso di terzo utilizzo

Sono un senior manager. Organizzo i pagamenti per i servizi commerciali utilizzando una carta di credito aziendale condivisa. I dettagli della carta di credito vengono memorizzati nelle attività di Microsoft Outlook. Ciò mi consente di acquistare servizi una volta confermata l'approvazione. Non sono emesso con una carta di credito individuale.

    
posta Motivated 05.08.2018 - 08:17
fonte

3 risposte

3

Nel mio lavoro con PCI, non ho affrontato questa domanda, ma la mia comprensione è che dipende dall'emittente, dal marchio e dal contesto aziendale.

Visa e MC in passato hanno considerato il PCI a livello aziendale per applicare a tutti i PAN l'azienda ha visibilità come parte della sua attività, comprese le carte aziendali emesse. L'Amex a volte no.

Consiglierei di contattare il tuo consulente e il tuo emittente per capire che cosa dice il tuo accordo di rilascio e quali sono le loro opinioni pratiche.

Indipendentemente dal fatto che PCI si applichi o meno, consiglierei anche di contattare il tuo team di sicurezza per organizzare una soluzione che consenta lo stoccaggio separato dei PAN al di fuori del loro riferimento nei comuni sistemi di dati aziendali come email, attività e calendario per soddisfare i casi d'uso che hai accuratamente, chiaramente e utilmente delineato.

Ciò può assumere la forma di una soluzione di gestione segreta a livello aziendale, che non si applica specificamente alle carte di credito, ma che supporta la separazione e la memorizzazione di informazioni sensibili in modo che, ad esempio, email / attività / calendari possano dire "usa la scheda # 25 per questo" piuttosto che "usa PAN 5555 ... expiration xx / yy per questo".

    
risposta data 05.08.2018 - 19:38
fonte
2

Se parli delle tue carte di credito di proprietà dell'azienda, questo non ha nulla a che fare con la conformità PCI. A nessuno importa come archiviare le tue carte delle organizzazioni. Diamine, puoi tenere le foto di loro in un album di foto di Facebook per tutto il mondo, e nessuno ti chiederà di fermarti o multato (anche se la tua banca potrebbe negare la responsabilità e costringerti a pagare il conto se violerai i loro termini di servizio).

La conformità PCI riguarda l'archiviazione delle carte di credito degli altri in modo che tu possa fatturarle per i servizi che ti richiedono. Ci sono molti servizi che forniscono l'archiviazione della carta di credito conforme allo standard PCI per tali scopi (Stripe è solo un esempio) ma nessuno di questi servizi funzionerà per te perché tutti nascondono esplicitamente i dettagli della carta di credito (questo è il punto dopo tutto). In sostanza lo scambio con il processore CC assomiglia a questo: si desidera fatturare la carta di credito di Bob per qualcosa che vorrebbe acquistare, il processore CC quindi parla direttamente a Bob per ottenere il numero della carta di credito, e poi si dice al processore come molto da fatturare. Non hai mai effettivamente la carta da te e il processore non condividerà mai i dettagli con te.

Questo è ovviamente completamente diverso da quello che vuoi. Queste sono le tue carte di credito, quindi non è il caso di nascondere i dettagli da te stesso - vuoi solo memorizzarli in modo sicuro. Questo non è il posto per le raccomandazioni sui prodotti, ma penso che tu abbia la tua risposta comunque: cose come i gestori di password o simili sono una scelta perfettamente ragionevole perché non devi preoccuparti della conformità PCI con le tue carte di credito. In effetti, la conformità PCI non ha nemmeno senso qui.

    
risposta data 05.08.2018 - 14:36
fonte
1

Gli altri commenti sono chiari. Tecnicamente si tratta di "rischio emittente", quindi è possibile verificare il contratto stipulato con chi ha emesso le carte o chiedere a loro. L'importante considerazione è che se questi dettagli della carta fossero stati compromessi e utilizzati in modo fraudolento, sarebbe tecnicamente una tua responsabilità per non aver preso adeguata sicurezza. Quindi, dal punto di vista della sicurezza delle informazioni, valutare il rischio e quindi adottare la sicurezza appropriata (e ignorare la conformità PCI DSS). In molti posti che ho consultato, un gestore di password era la risposta giusta.

Inoltre ci sono delle FAQ davvero inutili sul sito web PCI SSC: link

    
risposta data 06.08.2018 - 10:33
fonte

Leggi altre domande sui tag