¿Se pueden almacenar mi dirección, así como los últimos 4 dígitos y el nombre en la tarjeta de crédito sin el cumplimiento de PCI?

4

Entonces, si te registras estúpidamente en un sitio con una tarjeta de crédito y luego te arrepientes y te preocupas de que dicho sitio sea vulnerable a piratear los datos que pueden tener legalmente sin necesidad de ser compatibles con PCI.

Las cosas que sé son:

  1. Utilizan una pasarela de pago compatible con PCI.
  2. El servidor propio está en una instalación segura.
  3. Afirman que solo almacenan los últimos 4 dígitos de la tarjeta de crédito y solo para que los clientes puedan poner rápidamente más dinero en su cuenta rápidamente sin la necesidad de ingresar todos los detalles de CC en todo momento.

¿Crees que esto es todo lo que tienen? ¿Tendrían también el nombre y la dirección para poder realizar esa transacción?

Lo siento si no he sido claro. Esto es lo que recibí de la empresa cuando pregunté si podía eliminar mis datos personales de su base de datos:

  

En primer lugar, no se nos permite almacenar datos de tarjetas de crédito funcionales, por lo que   nosotros no Nosotros almacenamos los últimos cuatro dígitos ya que por sí mismos son   Sin sentido y ayúdanos a autenticarte al usar el rápido   Método de re-compra. En segundo lugar, nuestro proveedor de pagos ascendente es   autorizado para almacenar los datos de su tarjeta por VISA / MasterCard. Como tal ellos   son auditados anualmente y tienen que saltar a través de todos los aros y   Conformidad requerida por la norma PCI DSS. En tercer lugar, es un   Requisito de cualquier negocio para mantener registros de a quiénes están tratando   con. Sus datos personales se almacenan tan alto en la cadena que   debe ser mantenido. Otras empresas que afirman eliminar sus datos son las más   Probablemente el primer eslabón en la cadena o en un nivel de entrada. Ellos eliminan   y probablemente no debería incluso almacenarlo, pero su corriente arriba   Se requiere proveedor para mantenerlo.

Siguen refiriéndose a este correo electrónico cuando solicito más aclaraciones sobre si ellos mismos o solo la pasarela de pago mantienen mi nombre y dirección en contra de esa tarjeta de crédito y la cuenta que configuré con ellos. Nunca he dado mi dirección para la entrega solo para pagos, ya que era un sitio web de apuestas.

    
pregunta hazard44 05.12.2016 - 17:17
fuente

4 respuestas

5

Si una organización recibe, procesa o almacena datos de tarjetas de crédito (incluso si esto solo aloja un formulario o pasarela de pago), se requiere que cumplan con PCI. Tenga en cuenta el 'o' aquí: uno o más de estos significa que debe ser compatible.

No hay excepciones a esto.

Se les puede solicitar que proporcionen un nivel de cumplimiento más bajo, es decir, necesitan menos controles, pero igual tendrán que evaluar su nivel requerido e implementar los controles que el nivel requiere.

Incluso si solo mantienen los datos "en tránsito" durante un corto período de tiempo y nunca almacenan los datos de la tarjeta en el disco, deberán cumplir los requisitos.

Nuevamente, esto no es una llamada de juicio: si recopila, almacena o procesa datos de la tarjeta (incluso 'de pasada') debe ser compatible.

Por supuesto, cuántas organizaciones cumplen es otra cuestión. La aplicación no ha sido del 100% en el pasado, aunque esto está cambiando.

    
respondido por el David Scholefield 05.12.2016 - 18:59
fuente
6

Es muy posible, y muy probable, que hagan el nombre de la tienda, la dirección, el número de teléfono, el correo electrónico y otros datos de contacto y de compra. Esto es irrelevante para PCI. PCI se preocupa por los datos de la tarjeta de crédito (CHD) y el número de cuenta (PAN) y los otros datos en la banda magnética, incluidos los números "adicionales" en el reverso de la tarjeta y la fecha de vencimiento.

PCI prohíbe el almacenamiento de los datos de la banda magnética y los números "adicionales" (para cualquier persona que no sea la que realmente la necesita).
PCI permite almacenar los últimos 4 números junto con otros datos, como un número de transacción y para transacciones repetidas, el comerciante también puede almacenar un número especial de comerciante único que parece un número de tarjeta de crédito y Funciona igual, pero está ligado al comerciante.

La mayoría de los comerciantes no quieren la ira del consejo de PCI y / o su banco y / o aplicación de la ley, y harán todo lo posible para "quitar de alcance" los sistemas fuera del alcance de PCI. Por lo tanto, existe la pregunta de si cumplen con el 100%, sin embargo, es posible que sean "suficientes" solo con los datos que usted indicó.

    
respondido por el MikeP 05.12.2016 - 19:19
fuente
1

PCI-DSS permite el almacenamiento de los datos del titular de la tarjeta, el número de la tarjeta de crédito y la fecha de caducidad , siempre y cuando Están encriptados en reposo y en tránsito.

  

Nunca almacene contenido completo de ninguna pista de la banda magnética o el chip de la tarjeta (a la que se hace referencia como pista completa, pista, pista 1, pista 2 o datos de banda magnética). Si es necesario para fines comerciales, el nombre del titular de la tarjeta, el PAN, la fecha de caducidad y el código de servicio se pueden almacenar siempre que estén protegidos de acuerdo con los requisitos de PCI DSS.

No permite el almacenamiento del código de verificación o PIN.

  

Nunca almacene el código o valor de validación de la tarjeta (número de tres o cuatro dígitos impreso en el anverso o el reverso de una tarjeta de pago utilizada para validar las transacciones de tarjeta no presente).

     

Nunca almacene el número de identificación personal (PIN) o el Bloqueo de PIN.

Puede ser que almacenen el número completo de la tarjeta pero solo te permiten ver los últimos cuatro dígitos.

  

Asegúrese de enmascarar PAN cada vez que se muestre. Los primeros seis y los últimos cuatro dígitos son el número máximo de dígitos que se pueden mostrar. Este requisito no se aplica a los autorizados con una necesidad específica de ver el PAN completo, ni reemplaza los requisitos más estrictos establecidos para la visualización de los datos del titular de la tarjeta, como en un recibo de punto de venta.

Enlace

    
respondido por el John Wu 05.12.2016 - 20:25
fuente
0
  

Entonces, si te registras estúpidamente en un sitio con una tarjeta de crédito y luego   Lo lamento y me preocupa que dicho sitio sea vulnerable a la piratería.   qué datos pueden tener legalmente sin necesidad de ser compatibles con PCI.

     

...

     

Nunca he dado mi dirección para la entrega solo para pagos, ya que   Era un sitio web de apuestas.

El problema con el que estás luchando no es su cumplimiento de PCI, ni siquiera lo que puedes intentar obligarles a hacer para que se mantengan dentro del cumplimiento de PCI, sino el hecho de que usaste tu tarjeta en un sitio de apuestas y ahora deseas no lo habías hecho.

  

Lo siento si no he sido claro. Esto es lo que recibí de la empresa cuando   Pregunté si podía eliminar mis datos personales de su base de datos:

No hay nada en el PCI que obligue a eliminar sus datos y, como han señalado, su procesador ascendente, que tiene el conjunto completo de datos y está en el alcance de PCI, tiene el requisito de conservar los registros transaccionales , que incluyen cosas como el número de su tarjeta y el nombre (si se ha enviado).

Para decirlo sin rodeos, no tienes ninguna propiedad de tu historial transaccional. Cuando envía su nombre para comprar algo, se convierte en parte de la transacción, y esa transacción es propiedad del procesador. El procesador debe cumplir con los requisitos de las PCI DSS, por supuesto, y debe proteger sus nombres de acuerdo con las regulaciones de PII aplicables ...

(Tenga en cuenta que incluso un estado estricto como Massachusetts con 201 CMR 17.00 no hace mención de obligar a la empresa a responder a las solicitudes de eliminación de PII (la ley de PII se trata de castigar la pérdida / uso indebido, no evitar el uso).

Les has pedido que eliminen tu cuenta; han disminuido y, bastante razonablemente, han señalado que incluso si lo hicieran, no respondería a sus preocupaciones. Se les permite declinar. No puedes obligarlos con el PCI.

Usted podría ser capaz de compelerlos con un abogado, pero eso le costará dinero.

Si le preocupa que alguien haya hecho un mal uso de la cuenta, denuncie el robo de su tarjeta de crédito y obtenga una nueva. Esa es realmente tu única protección.

    
respondido por el gowenfawr 05.12.2016 - 21:55
fuente

Lea otras preguntas en las etiquetas