Conformità PCI e trasmissione dei dati delle carte

Question

Conformità PCI e trasmissione dei dati delle carte

#1 da (1 voti)

0

Ho letto che il PCI impone ai commercianti di memorizzare le prime sei e le ultime quattro cifre sono il numero massimo di cifre che possono essere visualizzati / memorizzato. Sto cercando di trovare ciò che è necessario per quanto riguarda la trasmissione della carta. ad esempio, il cliente di un sito Web può inviare (se lo desidera) il numero PAN e il numero CC (non nascosto) ma lo sviluppatore lo memorizza come richiesto da PCI? Quindi, lo standard PCI riguarda solo lo storage dal punto di vista del commerciante, ma il modo in cui il cliente lo invia al commerciante è irrilevante?

Grazie

payment credit-card pci-dss

posta fargo01 01.08.2018 - 15:09

fonte

1 risposta

Leggi altre domande sui tag payment credit-card pci-dss

Amazon AWS KMS - Concetto di firma in generale e con JWT Lavorare da una USB [chiuso]

score 1 · Answer 1

Il problema di "inviare" la carta al commerciante è un po 'complicato. Il titolare della carta può essere autorizzato a "inviare" la carta in modi che il commerciante non è autorizzato ad accettare.

La conformità ai requisiti PCI fa parte del rapporto contrattuale con il quale un commerciante entra in una banca, chiamato acquirente, per poter accettare pagamenti con carta di credito.

I requisiti PCI includono il linguaggio sia sui PAN "a riposo" (archiviazione) che "in transito" (trasmissione). I modi in cui un commerciante consente ai clienti di fornire il proprio numero di carta di credito sono soggetti a requisiti PCI sia a riposo che in transito.

IOW, PCI stabilisce in che modo un commerciante può legittimamente accettare carte per il pagamento.

Per il titolare della carta- hanno un accordo con la propria banca, chiamato "emittente" - la banca che offre loro una linea di credito e invia loro una carta per posta. Nel profondo dei termini contrattuali di servizio che il titolare della carta è d'accordo con l'emittente è linguaggio sul mantenere il numero della carta segreta.

Le regole del lato commerciante sono molto più rigide delle regole del titolare della carta, per ragioni che hanno a che fare con il rischio, la scala e il modello di business.

In termini pratici, ad esempio, un commerciante non è in grado di pubblicizzare di accettare numeri di carta tramite e-mail, poiché l'e-mail è un protocollo che non è conforme a PCI. Se un commerciante riceve un numero di carta in un'e-mail, deve eliminare tale e-mail dai loro sistemi di posta elettronica. I revisori PCI chiedono informazioni sui flussi di lavoro come questo nelle loro recensioni.

Quando l'ho guardato per l'ultima volta, gli accordi con i titolari di carta non vietavano espressamente l'invio di un numero di carta via email, anche se potrebbe essere cambiato, ma in generale le regole sono molto meno esplicite, ed è piuttosto raro che l'emittente della carta revochi una carta da un titolare della carta per motivi che non comportano spese fraudolente o mancanza di pagamento. Uso improprio casuale del titolare della carta, che porta a una carta sostitutiva è un flusso di lavoro standard per gli emittenti.