¿Se pueden almacenar mi dirección, así como los últimos 4 dígitos y el nombre en la tarjeta de crédito sin el cumplimiento de PCI?

Si una organización recibe, procesa o almacena datos de tarjetas de crédito (incluso si esto solo aloja un formulario o pasarela de pago), se requiere que cumplan con PCI. Tenga en cuenta el 'o' aquí: uno o más de estos significa que debe ser compatible.

No hay excepciones a esto.

Se les puede solicitar que proporcionen un nivel de cumplimiento más bajo, es decir, necesitan menos controles, pero igual tendrán que evaluar su nivel requerido e implementar los controles que el nivel requiere.

Incluso si solo mantienen los datos "en tránsito" durante un corto período de tiempo y nunca almacenan los datos de la tarjeta en el disco, deberán cumplir los requisitos.

Nuevamente, esto no es una llamada de juicio: si recopila, almacena o procesa datos de la tarjeta (incluso 'de pasada') debe ser compatible.

Por supuesto, cuántas organizaciones cumplen es otra cuestión. La aplicación no ha sido del 100% en el pasado, aunque esto está cambiando.

Es muy posible, y muy probable, que hagan el nombre de la tienda, la dirección, el número de teléfono, el correo electrónico y otros datos de contacto y de compra. Esto es irrelevante para PCI. PCI se preocupa por los datos de la tarjeta de crédito (CHD) y el número de cuenta (PAN) y los otros datos en la banda magnética, incluidos los números "adicionales" en el reverso de la tarjeta y la fecha de vencimiento.

PCI prohíbe el almacenamiento de los datos de la banda magnética y los números "adicionales" (para cualquier persona que no sea la que realmente la necesita).
PCI permite almacenar los últimos 4 números junto con otros datos, como un número de transacción y para transacciones repetidas, el comerciante también puede almacenar un número especial de comerciante único que parece un número de tarjeta de crédito y Funciona igual, pero está ligado al comerciante.

La mayoría de los comerciantes no quieren la ira del consejo de PCI y / o su banco y / o aplicación de la ley, y harán todo lo posible para "quitar de alcance" los sistemas fuera del alcance de PCI. Por lo tanto, existe la pregunta de si cumplen con el 100%, sin embargo, es posible que sean "suficientes" solo con los datos que usted indicó.

PCI-DSS permite el almacenamiento de los datos del titular de la tarjeta, el número de la tarjeta de crédito y la fecha de caducidad , siempre y cuando Están encriptados en reposo y en tránsito.

  

Nunca almacene contenido completo de ninguna pista de la banda magnética o el chip de la tarjeta (a la que se hace referencia como pista completa, pista, pista 1, pista 2 o datos de banda magnética). Si es necesario para fines comerciales, el nombre del titular de la tarjeta, el PAN, la fecha de caducidad y el código de servicio se pueden almacenar siempre que estén protegidos de acuerdo con los requisitos de PCI DSS.

No permite el almacenamiento del código de verificación o PIN.

  

Nunca almacene el código o valor de validación de la tarjeta (número de tres o cuatro dígitos impreso en el anverso o el reverso de una tarjeta de pago utilizada para validar las transacciones de tarjeta no presente).

     

Nunca almacene el número de identificación personal (PIN) o el Bloqueo de PIN.

Puede ser que almacenen el número completo de la tarjeta pero solo te permiten ver los últimos cuatro dígitos.

  

Asegúrese de enmascarar PAN cada vez que se muestre. Los primeros seis y los últimos cuatro dígitos son el número máximo de dígitos que se pueden mostrar. Este requisito no se aplica a los autorizados con una necesidad específica de ver el PAN completo, ni reemplaza los requisitos más estrictos establecidos para la visualización de los datos del titular de la tarjeta, como en un recibo de punto de venta.

Enlace

  

Entonces, si te registras estúpidamente en un sitio con una tarjeta de crédito y luego   Lo lamento y me preocupa que dicho sitio sea vulnerable a la piratería.   qué datos pueden tener legalmente sin necesidad de ser compatibles con PCI.

     

...

     

Nunca he dado mi dirección para la entrega solo para pagos, ya que   Era un sitio web de apuestas.

El problema con el que estás luchando no es su cumplimiento de PCI, ni siquiera lo que puedes intentar obligarles a hacer para que se mantengan dentro del cumplimiento de PCI, sino el hecho de que usaste tu tarjeta en un sitio de apuestas y ahora deseas no lo habías hecho.

  

Lo siento si no he sido claro. Esto es lo que recibí de la empresa cuando   Pregunté si podía eliminar mis datos personales de su base de datos:

No hay nada en el PCI que obligue a eliminar sus datos y, como han señalado, su procesador ascendente, que tiene el conjunto completo de datos y está en el alcance de PCI, tiene el requisito de conservar los registros transaccionales , que incluyen cosas como el número de su tarjeta y el nombre (si se ha enviado).

Para decirlo sin rodeos, no tienes ninguna propiedad de tu historial transaccional. Cuando envía su nombre para comprar algo, se convierte en parte de la transacción, y esa transacción es propiedad del procesador. El procesador debe cumplir con los requisitos de las PCI DSS, por supuesto, y debe proteger sus nombres de acuerdo con las regulaciones de PII aplicables ...

(Tenga en cuenta que incluso un estado estricto como Massachusetts con 201 CMR 17.00 no hace mención de obligar a la empresa a responder a las solicitudes de eliminación de PII (la ley de PII se trata de castigar la pérdida / uso indebido, no evitar el uso).

Les has pedido que eliminen tu cuenta; han disminuido y, bastante razonablemente, han señalado que incluso si lo hicieran, no respondería a sus preocupaciones. Se les permite declinar. No puedes obligarlos con el PCI.

Usted podría ser capaz de compelerlos con un abogado, pero eso le costará dinero.

Si le preocupa que alguien haya hecho un mal uso de la cuenta, denuncie el robo de su tarjeta de crédito y obtenga una nueva. Esa es realmente tu única protección.