Dati della carta di credito inviati come formato immagine normale [chiuso]

1

I dati completi del numero di conto più Informazioni identificabili personalmente (PII) per una carta di credito vengono acquisiti in un documento che è scansionato come immagine per un'elaborazione successiva. Questa immagine viene quindi caricata su un'altra applicazione. Sono preoccupato che queste immagini scansionate contengano tutti i dati della carta di credito (numero di conto primario, nome del titolare della carta, data di scadenza, numero CVV) e altre informazioni PII come l'indirizzo di residenza e il numero di telefono, tutto in testo normale, anche se salvato come immagine.

I dati vengono inviati tramite il protocollo HTTPS. Sto cercando ulteriori ulteriori controlli per rafforzare questo da catturare i dati della traccia nel primo punto. Chiedo ulteriori approfondimenti su questo.

(Bit più spiegato: i dati della carta vengono raccolti nel documento annotato (tutti i dati in una carta di credito) .Il documento viene scansionato e l'immagine viene inviata attraverso un'applicazione al fornitore di servizi. e lo inserisce manualmente su un'altra applicazione. Questa applicazione ha il troncamento abilitato)

    
posta Bala 08.01.2016 - 17:01
fonte

2 risposte

3

Indipendentemente dal formato in cui si trova, la memorizzazione di dati PAN completi aumenta il rischio per la sicurezza e, di conseguenza, è l'ambito della conformità PCI.

Dovresti assicurarti che in ogni fase siano soddisfatti i seguenti requisiti di conformità:

  1. Gli hash unidirezionali basati su crittografia avanzata
  2. Troncamento
  3. Crittografia strong
  4. Token e pad indice

Se si memorizzano i dati PAN come indicato, quindi Requisito 3.4 PCI DSS richiede di renderlo illeggibile e irrecuperabile attraverso uno di questi metodi.

Se implementi uno di questi metodi, stai bene.

Se non è necessario implementare uno di quelli su quella immagine scansionata. La crittografia di un'immagine come ZIP sarebbe una opzione. La gestione delle chiavi è sempre un problema con la crittografia, ma se opportunamente progettata, è fattibile.

    
risposta data 08.01.2016 - 17:22
fonte
2

Non è possibile memorizzare i dati sensibili delle carte di credito "dopo l'autorizzazione" (come per i requisiti PCI DSS , punto 3.2), quindi è necessario assicurarsi (e fornire prove) che ogni copia (la copia originale stampata catturata dallo scanner e quella digitale inviata all'applicazione ad entrambe le estremità ) è sicuro distrutto immediatamente dopo. Non è un problema in sé inviare i dati nel modo desiderato, ma potrebbe essere quello di dimostrare che ogni copia è stata correttamente cancellata:

  • Hard-copy materials must be crosscut shredded, incinerated, or pulped [...]
  • Cardholder data on electronic media must be rendered unrecoverable (e.g.,via a secure wipe program in accordance with industry-accepted standards for secure deletion, or by physically destroying the media )

Inoltre, se esistono informazioni personali, alcuni paesi hanno una propria regolamentazione che richiede livelli di protezione per tali dati che sono simili agli standard PCI. Cerca quelli che si applicano al tuo caso.

    
risposta data 09.01.2016 - 03:05
fonte

Leggi altre domande sui tag