Memorizza CVV in due parti separatamente una violazione del PCI?

1

Stavo passando per i documenti di integrazione di un processore di pagamento e, secondo la mia comprensione del codice, dei documenti e del disassemblaggio, stanno facendo quanto segue:

  1. Crittografia del CVV sul lato server
  2. Restituisce metà del testo cifrato al client
  3. Consentire al client di memorizzare il testo cifrato parziale

Su ulteriori pagamenti, chiedono il testo cifrato parziale e consentono il passaggio del pagamento senza chiedere di nuovo CVV.

Il documento PCI menziona quanto segue per CVV:

3.2.d For all other entities, if sensitive authentication data is received, review procedures and examine the processes for securely deleting the data to verify that the data is unrecoverable.

La suddivisione del CVV e la sua memorizzazione si qualificano come "irrecuperabili", poiché entrambe le parti non possono essere utilizzate singolarmente per recuperare l'originale? O sarebbe considerato come una violazione?

    
posta Anonymous 17.02.2017 - 13:35
fonte

2 risposte

1

Non sono un QSA, ma questa è la mia comprensione:

L'intento di questa regola è che il CVV è disponibile solo per l'invio alla banca emittente quando il titolare della carta lo digita da solo . Se il processore è in grado di recuperare il CVV in qualsiasi modo che gli consenta di inviarlo senza che il titolare della carta lo immetta, allora si tratta di una violazione.

Di per sé, crittografare e suddividere i dati crittografati non è un problema. Tuttavia, se sei in grado di inviare la tua metà e ricombinarla con la loro metà, allora è recuperabile. E dal momento che non avrebbe senso in questo processo se non fossi in grado di presentare la tua metà, allora l'intera faccenda è, di fatto, una violazione.

    
risposta data 17.02.2017 - 14:47
fonte
-1

Il CVV appartiene al titolare della carta e solo al titolare della carta.

Di per sé non ha senso. Con le informazioni della carta di credito, tuttavia, sono considerati dati del titolare della carta e devono essere trattati come tali.

Il ruolo che il CVV gioca è che il titolare della carta può usarlo per dimostrarlo e solo loro possiedono la carta di credito. Ciò significa che nelle transazioni in cui è stato fornito il CVV, la transazione non è attendibile: significa che il titolare della carta non può contestare che ha autorizzato la transazione .

Ecco il problema: i commercianti vogliono il numero CVV perché negano al consumatore il diritto al riaddebito. Ma nelle transazioni non presenti in carta il commerciante non ha infatti la carta o il numero CVV a disposizione, quindi lo chiedono.

I commercianti non hanno il diritto di chiedere un numero CVV poiché il suo scopo è verificare il possesso della carta e non autorizzare le transazioni. I consumatori hanno il diritto di rifiutarsi di darlo.

Answer: The only place the CVV number should be stored is on the card itself.

    
risposta data 17.02.2017 - 15:42
fonte

Leggi altre domande sui tag