Tengo una pregunta sobre el cumplimiento de PCI. Parece que hay una necesidad comercial válida en nuestra compañía para mantener algunos datos del titular de la tarjeta, para una transacción sin éxito. Un ejemplo sería que un cliente haga una reserva de hotel, pero el pago falla, entonces un agente de soporte puede reintentar el pago utilizando los datos del titular de la tarjeta, esto forma parte de nuestro servicio. Pero no queremos almacenar digitalmente los datos de los titulares de tarjetas. En este caso, queremos imprimir los datos del titular de la tarjeta para su uso posterior y destruir el papel de forma segura en un plazo de 3 días. No habrá almacenamiento digital de los datos de la tarjeta en sus sistemas. Haciéndolo más fácil para nosotros cumplir con los requisitos de PCI.
¿Lo anterior está permitido bajo la regulación PCI? Creo que puede hacerlo siempre y cuando la seguridad física esté en su lugar y solo los usuarios con una necesidad comercial legítima tengan acceso. ¿Cuál sería la razón correcta para hacer esto?