Si un comerciante envía un número de tarjeta no válido al banco, ¿tendrá el banco para asegurar que la información sea compatible con PCI?
Si se expuso una tarjeta no válida, ¿quién está en riesgo y a qué fecha se ha expuesto? Como no es una tarjeta válida, no hay un "titular de la tarjeta".
En la introducción, el PCI DSS 3.0 :
El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) era Desarrollado para alentar y mejorar la seguridad de los datos de los tarjetahabientes y Facilitar la amplia adopción de medidas de seguridad de datos consistentes. a nivel mundial PCI DSS proporciona una línea de base técnica y operativa requisitos diseñados para proteger los datos del titular de la tarjeta.
Si es un código no válido porque la LUHN no pasa, no comienza con un identificador de banco válido, no se puede emitir a un cliente. Es probable que no esté en ninguna pieza de plástico con un logotipo de marca de tarjeta. Solo PCI se aplica a las tarjetas con el logotipo de una marca .
Sin embargo, si la misma fuente (comerciante) puede enviar tarjetas no válidas e inválidas, debería asumir que los números de las tarjetas son válidos hasta que se verifiquen, lo que significa que se deben seguir las protecciones de cifrado normales, etc. Si, por alguna razón, tenía un canal separado para números no válidos, números de prueba que no se pueden emitir, sin embargo, estos no deberían caer bajo PCI, sin embargo, con todo en PCI, siempre consulte su QSA amigable.
Permítame responder a su pregunta con un ejemplo diferente.
Es probable que cualquier proveedor de servicios PCI (por ejemplo, procesadores, servicios de fraude, etc.) utilice números de tarjeta de prueba. Los números de las tarjetas de prueba tendrán números Algoritmo de Luhn (mod 10) e incluso IIN válidos (aparentemente BIN ahora se llama IIN ! ¿Quién sabía?). El nombre asociado y la información de vencimiento, si se utilizan, se inventarán y se presumirá que no coinciden con los pares reales de tarjetas / nombres emitidos.
Pueden muy bien ser números reales de cartas. Puede suceder que la tarjeta de prueba 4111111111111111 con el nombre de "Usuario de prueba" tenga el mismo número que la tarjeta real y emitida 4111111111111111 "Randy Waterhouse". Cuando genera números de prueba que cumplen con las normas, no hay nada que le impida alcanzar el mismo número que una tarjeta válida.
El PCI-DSS no es explícito sobre el estado de estos números; en general, los números de prueba numéricamente válidos no se recomiendan por falta de aprobación u orientación de las marcas de tarjetas. Sin embargo, en términos reales, no se incluyen en el alcance y los requisitos de PCI, por ejemplo, no necesitan estar cifrados en el disco.
Pero aquí está la clave -
Cuando el QSA viene para auditar a la organización, van a buscar números de tarjeta. Y van a encontrar esos números de prueba. Y van a requerir algún tipo de convencimiento de que son, de hecho, números de prueba y no instancias de números emitidos válidos. Querrán ver nombres claramente no válidos, o auditorías y registros que los convenzan de la falsa procedencia de los números, o alguna evidencia de que la organización tiene una forma de mantener los datos de prueba separados de los datos reales.
Por lo tanto, solo porque los números de prueba no caigan dentro del alcance de PCI, no significa que pueda ignorar a PCI con respecto a ellos. Tal como dijo @ eric-g, la organización debe "asumir que los números de las tarjetas son válidos hasta que se verifican", y si son números válidos numéricamente, "verificados" significa más.
Lea otras preguntas en las etiquetas credit-card pci-dss