Visualizza il numero totale della carta di credito e la conformità PCI

0

Ho letto le regole di conformità PCI per vedere se è sempre conforme allo standard PCI per mostrare il numero completo della carta di credito su una pagina web a un utente. Ho trovato alcune informazioni sulle ricevute cartacee e le regole che stabiliscono quali cifre sono visibili nel numero della carta. Ma c'è anche questo blurb dal documento di Do e di Don'ts del PCI Security Standard:

Do not store cardholder data unless there is a legitimate business need; truncate or mask cardholder data if full PAN is not needed and do not send PAN in unencrypted emails, instant messages, chats, etc..

Nel mio scenario, ho un modo PCI compatibile per accettare le informazioni sulle carte e un modo conforme allo standard PCI per archiviare queste informazioni (attraverso un sito esterno). Mi chiedo se è conforme PCI per visualizzare queste informazioni al commerciante che elaborerà questa carta con il proprio sistema di pagamento. Visualizzeranno queste informazioni dopo aver effettuato l'accesso a un sito protetto con i dati recuperati da un altro sito tramite una richiesta GET HTTPS.

    
posta gdawgrancid 27.08.2018 - 22:18
fonte

1 risposta

3

PCI DSS consente la visualizzazione dei dati dei titolari di carte per scopi commerciali validi, ma viene fornito con la piena responsabilità e sanzioni se una qualsiasi delle carte dei tuoi clienti viene utilizzata in modo fraudolento. Tale visualizzazione ti mette direttamente in pericolo e, dal punto di vista dell'evasione del rischio, sconsiglio vivamente l'implementazione di questa funzione.

Se scegli di visualizzare i dati del titolare della carta, ci sono molte regole aggiuntive sull'autenticazione, la registrazione, la verifica, ecc. che dovrai seguire. Inoltre, vi sono dati che non è necessario memorizzare e pertanto non possono essere visualizzati, ad esempio CVV. Chiunque usi i tuoi dati pagherà il tasso di interscambio massimo per le transazioni di Cardholder Not Present (CNP).

Verifica almeno con il tuo QSA per vedere che cosa richiederanno prima di iniziare questo percorso. Il costo di implementazione, oltre all'enorme rischio che assumerai, dovrebbe dare molta importanza alla tua alta dirigenza prima di approvare un sistema come questo.

    
risposta data 28.08.2018 - 06:42
fonte

Leggi altre domande sui tag