Domanda su come salvare le informazioni della carta di credito su reset PW [PCI]

-1

Lavoro per un'organizzazione di vendita al dettaglio con una grande presenza di e-commerce. Permettiamo ai nostri clienti di memorizzare le informazioni CC per un check-out facile, come molti rivenditori.

Attualmente rimuoviamo tutte le informazioni CC memorizzate al ripristino della password per un individuo. C'è una richiesta da parte di uno dei nostri partner commerciali per modificare questo e conservare le informazioni CC attraverso il reset PW. Per chiarire, quando la PW viene ripristinata, un'email viene inviata all'indirizzo email principale dell'utente con un collegamento per reimpostare la password.

La giustificazione per mantenerlo è che oggi è un inconveniente e stiamo vedendo vendite perse a causa del fatto che i consumatori non rientrano nelle loro informazioni CC; in particolare, le nostre carte co-branded e store.

Se esisteva un utente malintenzionato che aveva accesso alle credenziali per il nostro sito Web, quell'utente avrebbe semplicemente effettuato il login come destinazione invece di reimpostare la password. Se l'utente ha accesso all'indirizzo e-mail su file per completare la funzionalità di reimpostazione della password, supponiamo che sia effettivamente quella persona e non qualcuno che tenta maliziosamente di reimpostare la password, quindi la richiesta di conservare le informazioni CC.

Mi chiedo se questo abbia qualche tipo di implicazioni PCI che potrebbe portarci in acqua calda?

Capisco il ragionamento, ma voglio essere sicuro che stiamo facendo la cosa giusta.

    
posta Dave 10.08.2018 - 14:54
fonte

1 risposta

1

I am wondering if this has any sort of PCI implications that could land us in hot water?

Nessuno con cui non hai già a che fare.

PCI si preoccupa profondamente di come si memorizza PAN (numero di conto primario) e informazioni correlate. Se si memorizzano le carte di credito, devono essere crittografate in modo sicuro e le macchine su cui sono memorizzate richiedono determinate misure di sicurezza e la rete che vengono trasmesse utilizzando richiede alcune misure di sicurezza ... quando si memorizza PAN, si è registrandoti per fare un sacco di lavoro di sicurezza e auditing.

È vero che li stai archiviando per un giorno, un anno o qualsiasi periodo. Se cancelli i dati PAN di un utente ogni 3 mesi quando cambiano sono password, i tuoi obblighi non sono diversi da quelli che non vengono cancellati.

(La tokenizzazione - probabilmente offerta dal tuo Processore - può ridurre l'ambito che devi proteggere, perché non stai conservando il PAN personalmente, ma non fa alcuna differenza per la tua preoccupazione: un token non cancellato rimane utilizzabile dopo la reimpostazione della password proprio come farebbe un PAN non cancellato)

Personalmente, non so che ho usato un commerciante che richiede un completo rientro PAN dopo una modifica, sebbene abbia reinserito il CVV che ho visto. Potresti essere in grado di trovare alternative (reinserire il CVV, rispondere a una domanda di sicurezza, ...) che sono modi meno intrusivi di essere estremamente attenti a seguito di un cambio di password.

(Per essere chiari, il punto di chiedere il CVV è quello di usare quello durante l'autenticazione della carta di credito come una validazione extra, non per confrontarlo con un valore precedentemente memorizzato - DSS non ti permette di memorizzare CVV tra le transazioni .)

    
risposta data 10.08.2018 - 15:06
fonte

Leggi altre domande sui tag