¿Podemos imprimir los datos del titular de la tarjeta bajo el marco de cumplimiento de PCI DSS y seguir cumpliendo?

3

Tengo una pregunta sobre el cumplimiento de PCI. Parece que hay una necesidad comercial válida en nuestra compañía para mantener algunos datos del titular de la tarjeta, para una transacción sin éxito. Un ejemplo sería que un cliente haga una reserva de hotel, pero el pago falla, entonces un agente de soporte puede reintentar el pago utilizando los datos del titular de la tarjeta, esto forma parte de nuestro servicio. Pero no queremos almacenar digitalmente los datos de los titulares de tarjetas. En este caso, queremos imprimir los datos del titular de la tarjeta para su uso posterior y destruir el papel de forma segura en un plazo de 3 días. No habrá almacenamiento digital de los datos de la tarjeta en sus sistemas. Haciéndolo más fácil para nosotros cumplir con los requisitos de PCI.

¿Lo anterior está permitido bajo la regulación PCI? Creo que puede hacerlo siempre y cuando la seguridad física esté en su lugar y solo los usuarios con una necesidad comercial legítima tengan acceso. ¿Cuál sería la razón correcta para hacer esto?

    
pregunta Rup 14.09.2012 - 11:26
fuente

2 respuestas

5

Solo se permitiría si cumples con otras áreas.

PCI DSS no solo cubre el almacenamiento digital de datos, sino también la transmisión, el almacenamiento físico y la destrucción de datos.

  1. ¿Cómo obtiene el agente los datos del titular de la tarjeta?
  2. ¿Cómo van los datos a su impresora?
  3. ¿Cómo y dónde se almacenan los datos durante tres días?
  4. ¿Cómo se destruyen los datos?
respondido por el Damien Dennehy 14.09.2012 - 13:16
fuente
3

Si imprime los datos completos del titular de la tarjeta, debe cumplir con el PCI-DSS para esas impresiones, incluida la protección física. En las preguntas frecuentes de la Guía de cumplimiento de PCI :

  

El requisito 3.3 DS de PCI indica "Enmascarar PAN cuando se muestra (los primeros seis y los últimos cuatro dígitos son el número máximo de dígitos que se mostrarán)". Si bien el requisito no prohíbe la impresión del número completo de la tarjeta o el vencimiento En la fecha de los recibos (ya sea la copia del comerciante o la copia del consumidor), tenga en cuenta que PCI DSS no anula ninguna otra ley que legisle lo que puede imprimirse en los recibos (como la Ley de Transacciones de Crédito Exactas y Exactas de EE. UU. (FACTA ) o cualquier otra ley aplicable). Consulte la nota en cursiva bajo el requisito 3.3 de PCI DSS "Nota: Este requisito no se aplica a los empleados y otras partes con una necesidad específica de ver el PAN completo, ni el requisito reemplaza los requisitos más estrictos establecidos para muestra de datos del titular de la tarjeta (por ejemplo, para recibos de puntos de venta (POS)) ". Todos los recibos en papel almacenados por los comerciantes deben cumplir con el PCI DSS, especialmente el requisito 9 con respecto a la seguridad física.

Ten en cuenta que casi nunca puedes almacenar el CVV, así que no pienses en imprimirlo.

Si fuera usted, estaría preocupado por la destrucción adecuada de los datos impresos. Es difícil hacerlo bien, y es realmente difícil hacerlo bien durante un largo período de tiempo.

Una solución más técnica sería cifrar los datos utilizando una clave pública y depositar la mitad privada de la clave privada del par en un sistema separado (con el espacio en blanco, si es posible). Lo bueno de la encriptación es que significa que sus datos ya están "destrozados" si alguien los controla. Sí, le costará más por adelantado para los costos de desarrollo. Sin embargo, es probable que lo recupere en un año de impresión y destrucción de facturas, sin embargo.

    
respondido por el gowenfawr 14.09.2012 - 15:39
fuente

Lea otras preguntas en las etiquetas