Qualcuno ha implementato con successo un metodo approvato PCI di inviare via email dati PAN? So che ci sono dubbi sulla gestione di tutti i requisiti PCI in una soluzione di posta elettronica, ma c'è qualcuno che ha effettivamente soddisfatto tutti i requisiti PCI 3.2 e ha approvato questo dalla loro QSA?
Se solleciti i dati PAN via email, è probabile che sia più semplice fornire alla persona corrispondente un'interfaccia HTTPS attraverso cui possono comunicare il loro PAN tramite caselle di testo. Puoi quindi controllare il modo in cui l'invio funziona in modo tale da poter crittografare e archiviare i dati in modo sicuro al ricevimento.
Se solleciti file contenenti PAN, è probabilmente più semplice utilizzare un server SFTP.
È possibile richiedere che la persona aggiunga il PAN a un allegato di file. La persona potrebbe crittografare il file utilizzando una password casuale (che utilizza una funzione di derivazione chiave basata su password) e crittografare il file utilizzando una chiave AES a 256 bit. La password utilizzata potrebbe quindi essere comunicata tramite un canale di comunicazione separato.
Potresti usare la crittografia email PGP / GPG se tu e il corrispondente avete questo disponibile.
Non indicherai in quale direzione sta andando la tua email (dentro o fuori) nelle domande. Prendiamo ognuno in ordine.
Non puoi impedire ai clienti di farlo. Puoi smettere di richiederlo e mettere in guardia e nota che l'e-mail verrà rifiutata sul tuo sito web. E puoi dichiararlo chiaramente nelle tue politiche e processi.
Tuttavia, se il cliente invia un'email con i dati PAN, è necessario rifiutarla. Il PCI DSS è molto chiaro NON è possibile memorizzare i dati PAN in chiaro. Accettare i dati PAN e auth (CVV2, ...) violerebbe chiaramente PCI DSS poiché le e-mail sono archiviate in chiaro sui server e-mail e forse sui client e-mail. Inoltre hai tutto il problema di NON essere in grado di proteggere lo scambio di CHD in chiaro su Internet.
Se non riesci a rifiutare la posta in base al controllo MOD10 delle stringhe numeriche, allora la tua unica scelta è rimuovere il PAN nella risposta ed eliminare l'e-mail dal tuo sistema. Questo dovrebbe essere documentato nel tuo processo per la gestione dei casi di supporto / vendita. Se i tuoi addetti alle vendite stanno facendo questo, fermali ora. Meglio avere la chiamata del cliente e darti CHD per l'accettazione delle chiamate MOTO o inviare tramite FAX. Invita i tuoi clienti a non inviarti MAI CHD via email sul tuo sito web.
OUT
Se si stanno inviando e-mail con i dati PAN in chiaro - STOP! Non dovresti farlo. Vedi sopra. Se è necessario inviare i dati PAN via email per qualche strana ragione, è necessario crittografare i dati PAN con AES, quindi allegarli all'e-mail e inviarli. Le chiavi devono essere scambiate via SMS o voce per decifrare o utilizzare PKI.
In generale, usare l'e-mail per scambiare CHD è solo una cattiva idea. Esistono altre soluzioni: telefono, pagine Web sicure, FAX, SFTP.