¿Están autorizados los bancos para guardar copias impresas de texto completo de los datos de la tarjeta de crédito (número de cuenta principal, CVV, código de caducidad, nombre del titular de la tarjeta)?
(Algunas suposiciones aquí por la falta de referencias)
Según esta página de Visa , emitiendo y adquiriendo los bancos están sujetos al PCI DSS:
Todas las entidades que almacenan, procesan y / o transmiten datos del titular de la tarjeta, tales como comerciantes, proveedores de servicios (por ejemplo, pasarelas de pago, IPSP, procesadores), emisores y adquirentes , deben cumplir con las PCI DSS
Como tales, deben mantener las copias del PAN encriptadas. Pueden almacenar la fecha de vencimiento y el nombre del titular de la tarjeta sin cifrar.
ElDSSprohíbeelalmacenamiento(cifradoonocifrado)delaCVV;sinembargo,pordefinición,elbancoemisordebeconocerelCVVparavalidarlo.Esosignificaqueloalmacenanolorecalculan(
Actualización: @ dave_thompson_085 señaló en los comentarios que el PCI DSS permite explícitamente a los emisores almacenar el CVV según DSS sección 3.2:
Está permitido para emisores y empresas que admiten emisión Servicios para almacenar datos confidenciales de autenticación si:
- Hay una justificación comercial y
- Los datos se almacenan de forma segura.
Por otra parte, creo que es justo asumir que el banco adquirente no tiene permitido almacenar el CVV de las tarjetas que procesa. No hay un impulsor comercial para eso y estaría fuera de línea con el enfoque draconiano del DSS para el manejo de CVV.
Lea otras preguntas en las etiquetas pci-dss