Trasferimento dei dettagli della carta di credito negli hotel senza PCI

1

Sto sviluppando un'applicazione web per hotel che inviano offerte agli hotel degli ospiti. Desidero memorizzare i dati della carta di credito dell'ospite in modo sicuro, tramite un servizio di terze parti poiché non desidero implementare personalmente una soluzione conforme PCI DSS.

Non voglio (e non posso) elaborare i pagamenti, poiché ogni hotel ha il proprio gateway di pagamento e elaborerà i pagamenti in seguito. Tuttavia dovremmo dare a ciascun hotel la possibilità di accedere ai dati della carta di credito dietro accettazione dell'offerta da parte degli ospiti. Gli hotel devono eseguire controlli antifrode (ad esempio 1 transazione $) o introdurre i dati cc nel loro sistema software di pagamento.

Vorrei capire come questo flusso di lavoro potrebbe essere raggiunto: la maggior parte dei servizi online offre la "tokenizzazione" come soluzione di archiviazione.

Il che sembra buono, ma non so come inviare le informazioni della carta agli hotel. Mi sembra che la tokenizzazione sia utilizzata per eseguire successivamente la transazione, cosa che non posso fare per conto degli hotel. Inoltre, una volta tokenizzato, mi sembra che i dati non possano essere recuperati. Ogni hotel deve essere in grado di vedere e utilizzare effettivamente i dati cc dei suoi ospiti.

Qualsiasi aiuto e / o riferimento a un fornitore adatto è benvenuto.

    
posta Toovey Abraham 07.04.2017 - 12:17
fonte

1 risposta

2

I want to store the guest's credit card data in a secure way, through a third party service as I don't want to implement a PCI DSS compliant solution myself

Spiacenti, devi comunque essere conforme allo standard PCI. Leggi quanto segue:

Q2: To whom does the PCI DSS apply?

A: The PCI DSS applies to ANY organization, regardless of size or number of transactions, that accepts, transmits or stores any cardholder data.

Source: To Whom does PCI DSS apply?

Detto questo, potresti qualificarti per uno dei livelli meno restrittivi di PCI-DSS. Per scoprire, controlla questo link: Quale SAQ è appropriato per me?

Inoltre, a seconda dell'hotel, potrebbe essere necessario molto più del semplice numero di carta di credito. In genere, inoltre, invieranno nome, indirizzo, scadenza e CVV per convalidare la transazione. Se richiedono CVV, hai un problema serio: non puoi memorizzare CVV in qualsiasi forma per qualsiasi scopo.

Ecco un buon riferimento per iniziare la tua conformità: ComplianceGuide.org .

    
risposta data 08.04.2017 - 02:11
fonte

Leggi altre domande sui tag