PCI - memorizza i dettagli della carta offline

1

Lavoro per un'azienda che invia merci per corrispondenza / telefono. Alcuni clienti hanno ordini che ricevono ogni giorno, con importi diversi.

Ci è stato chiesto più volte da vari clienti se siamo in grado di memorizzare i dettagli della carta, per elaborarli in seguito, citando il fatto che altri fornitori offrono questo servizio.

Come potrebbe essere permesso? Per esempio. la memoria offline dei dati completi del titolare della carta, compreso il codice di sicurezza (CSC) dal retro della carta?

Sotto PCI, se questi dati sono ricevuti tramite un formato non elettronico e con il consenso scritto, sarebbe permesso?

Vogliamo cercare di accogliere i clienti il più possibile (soprattutto se i concorrenti offrono questo servizio), ma vogliamo essere pienamente denunciati PCI. A causa dell'intera natura offline di questo caso, ho difficoltà a trovare una risposta concreta, per favore qualcuno potrebbe chiarire?

Come nella documentazione sulla conformità PCI, non è possibile memorizzare nessuno dei seguenti elementi:

  • CAV2 / CVC2 / CVV2 / CID

Quindi sicuramente vale anche per lo storage offline?

Sono certo di avere ragione nel ritenere che non possa essere conservato (anche in un maniero offline al 100%) ma voglio solo un chiarimento, grazie.

    
posta crooksey 12.12.2017 - 10:36
fonte

3 risposte

1

PCI-DSS è abbastanza chiaro su questo punto in alcuni documenti:

Di seguito troverai una guida su come elaborare gli ordini telefonicamente:

link

the three-digit or four-digit card verification code or value printed on the card (CVV2, CVC2, CID, or CAV2) cannot be retained after authorization

Periodo. Non importa quale tipo di supporto viene utilizzato.

    
risposta data 12.12.2017 - 11:04
fonte
1

È possibile memorizzare il numero della carta di credito ma non in testo chiaro. Dovresti avere qualcosa che lo cripta e l'unica cosa che puoi mostrare se non sbaglio sono le ultime 4 cifre della carta.

Il codice che si trova nel retro della carta non è possibile memorizzarlo in nessuna situazione è valido solo per la verifica della transazione.

    
risposta data 13.12.2017 - 11:52
fonte
1

Come sottolineato da @schroeder, non è possibile memorizzare alcune informazioni sensibili dopo l'elaborazione, a prescindere dal supporto.

Volevo suggerire una soluzione che potrebbe essere utile. È possibile utilizzare un gateway di pagamento per codificare il numero della carta di credito, quindi basta archiviare il token e addebitare quel token quando arriva un nuovo ordine. I gateway che ho visto hanno terminali virtuali in cui è possibile inserire tutti i dati, oppure potrebbe esserci un modo per automatizzarlo. Ciò ha implicazioni di conformità PCI diverse (SAQ C forse). Ma è sicuramente molto più sicuro che archiviare i dati da soli. Permetterebbe anche la fatturazione ricorrente ecc. Se desiderato.

    
risposta data 16.12.2017 - 22:47
fonte

Leggi altre domande sui tag