Almacenar la información de la tarjeta de crédito del cliente para su procesamiento manual más tarde

4

Para una solución que estamos desarrollando para la industria hotelera, debemos guardar la información de la tarjeta de crédito del cliente y mostrarla al hotel para que luego procese el pago manualmente.

He leído todas estas preguntas y respuestas:

  1. Almacenamiento de la información de la tarjeta de crédito para su posterior procesamiento manual
  2. Almacenar los datos de la tarjeta de crédito en nombre de los clientes: y transferir los datos más adelante

La respuesta es bastante "no, no puedes hacerlo". Pero el problema es que así es como funciona dentro de la industria de la hospitalidad, y que yo diga "no, no puedes hacerlo" significa básicamente que no podemos vender nuestra solución a los hoteles.

Conozco a muchos proveedores de motores de reserva de hoteles que almacenan la información de CC para que el hotel los vea y procese manualmente. Los clientes de mi hotel también me dicen que incluso booking.com hace esto. El problema es que solo pueden ver la información de la tarjeta de crédito una cierta cantidad de veces antes de que desaparezca.

¿Esta cláusula "solo visible una cierta cantidad de tiempo antes de desaparecer" cambia la situación? ¿Hay alguna forma de evitar esto para vender soluciones a los hoteles sin infringir la ley y ponernos en peligro (aparte de procesar el dinero a través de una pasarela de pago, los hoteles tampoco quieren esto)?

    
pregunta hattenn 08.10.2017 - 10:56
fuente

1 respuesta

2

PCI DSS no prohíbe el almacenamiento del Número de cuenta principal (PAN). El PAN almacenado solo necesita ser protegido según el requisito 3 de PCi DSS

También puede almacenar el valor de CVV2 con el PAN hasta que se haya autorizado el pago, momento en el que debe eliminar de forma segura cualquier CVV2 almacenado. Los servicios de reservas de mayo lo harán automáticamente después de la primera noche de la reserva, ya que la compañía de reservas depende del hotel para informarles que la transacción ha sido autorizada.

Puede continuar almacenando el PAN siempre que tenga una política de retención justificable y permanezca protegida según el requisito 3.

Por supuesto, deberá cumplir con PCI DSS y ser evaluado como un proveedor de servicios, y debería darse cuenta de que a los delincuentes les gustan las empresas con repositorios de PAN y CVV2 porque son buenos datos para robar, por lo que usted (como todas esas reservas intermediarios) serán un objetivo.

PERO esto no es nada dentro de PCI DSS que impide el modelo de negocio que ha descrito.

    
respondido por el withoutfire 12.10.2017 - 10:04
fuente

Lea otras preguntas en las etiquetas