Lavoro per un'organizzazione di vendita al dettaglio con una grande presenza di e-commerce. Permettiamo ai nostri clienti di memorizzare le informazioni CC per un check-out facile, come molti rivenditori.
Attualmente rimuoviamo tutte le informazioni CC memorizzate al ripristino della password per un individuo. C'è una richiesta da parte di uno dei nostri partner commerciali per modificare questo e conservare le informazioni CC attraverso il reset PW. Per chiarire, quando la PW viene ripristinata, un'email viene inviata all'indirizzo email principale dell'utente con un collegamento per reimpostare la password.
La giustificazione per mantenerlo è che oggi è un inconveniente e stiamo vedendo vendite perse a causa del fatto che i consumatori non rientrano nelle loro informazioni CC; in particolare, le nostre carte co-branded e store.
Se esisteva un utente malintenzionato che aveva accesso alle credenziali per il nostro sito Web, quell'utente avrebbe semplicemente effettuato il login come destinazione invece di reimpostare la password. Se l'utente ha accesso all'indirizzo e-mail su file per completare la funzionalità di reimpostazione della password, supponiamo che sia effettivamente quella persona e non qualcuno che tenta maliziosamente di reimpostare la password, quindi la richiesta di conservare le informazioni CC.
Mi chiedo se questo abbia qualche tipo di implicazioni PCI che potrebbe portarci in acqua calda?
Capisco il ragionamento, ma voglio essere sicuro che stiamo facendo la cosa giusta.