Stavo passando per i documenti di integrazione di un processore di pagamento e, secondo la mia comprensione del codice, dei documenti e del disassemblaggio, stanno facendo quanto segue:
- Crittografia del CVV sul lato server
- Restituisce metà del testo cifrato al client
- Consentire al client di memorizzare il testo cifrato parziale
Su ulteriori pagamenti, chiedono il testo cifrato parziale e consentono il passaggio del pagamento senza chiedere di nuovo CVV.
Il documento PCI menziona quanto segue per CVV:
3.2.d For all other entities, if sensitive authentication data is received, review procedures and examine the processes for securely deleting the data to verify that the data is unrecoverable.
La suddivisione del CVV e la sua memorizzazione si qualificano come "irrecuperabili", poiché entrambe le parti non possono essere utilizzate singolarmente per recuperare l'originale? O sarebbe considerato come una violazione?