¿Es compatible con PCI generar un token para cada tarjeta utilizada para el procesamiento, independientemente de si el cliente solicitó que se guarde su tarjeta o no?
¿Es compatible con PCI generar un token para cada tarjeta utilizada para el procesamiento, independientemente de si el cliente solicitó que se guarde su tarjeta o no?
Respuesta corta: Sí, es compatible con PCI.
Respuesta larga:
El PCI DSS requiere que los datos de la tarjeta sean "ilegibles en cualquier lugar donde se almacenen"; El cifrado y la tokenización son los dos métodos más comunes. Pero todo lo que hace la tokenización es proporcionar una manera de hacer referencia a los datos de la tarjeta sin que algunos lugares almacenen datos de la tarjeta. Se usa con más frecuencia para permitir que un comerciante almacene y manipule tokens que les entrega su procesador; el procesador aún está almacenando los datos de la tarjeta (encriptados) pero ha generado ese token para permitir que el comerciante "use" la tarjeta sin "tener" la tarjeta. No tendría mucho sentido que una sola entidad genere tokens para su propio uso; Los tokens solo funcionan cuando hacen referencia a los datos de la tarjeta almacenados, y si almacena los datos de la tarjeta, generar sus propios tokens no alterará su alcance en absoluto.
El PCI DSS no se ocupa de la pregunta del cliente que solicita que la tarjeta se almacene o no. Cuando un cliente utiliza una tarjeta de crédito, están aceptando implícitamente que sus datos de la tarjeta serán almacenados por una o más partes intermedias durante y después de la autorización de la tarjeta de crédito y el proceso de liquidación. Si bien dichos requisitos no forman parte de las PCI DSS, los registros de transacciones de la tarjeta de crédito deben almacenarse el tiempo suficiente para respaldar la disputa de la tarjeta y los propósitos de devolución de cargo. Eso incluye el número de tarjeta: necesita el número de tarjeta para manejar una solicitud de devolución de cargo. La capacidad del cliente para decir "Oye, no compré eso" y recuperar su dinero es uno de los servicios de valor agregado que ofrece el uso de una tarjeta de crédito, y los datos de la tarjeta deben almacenarse para que eso suceda.
No ha especificado qué entidad cubierta por PCI le preocupa. Los comerciantes pueden evitar tener que almacenar tarjetas utilizando herramientas como la tokenización. Los procesadores generalmente necesitan almacenar tarjetas. Otros "Proveedores de servicios" pueden o no necesitar almacenar tarjetas; Depende del servicio que presten.
Si le preocupa el punto de vista de un cliente, realmente no puede hacer mucho. Usted trata únicamente con el comerciante, que pasa la tarjeta a través de un mínimo de 1 y posiblemente más de 1 otras entidades durante el proceso de procesamiento. Todos ellos pueden almacenar los datos siempre que los protejan según lo estipulado por el PCI DSS. La única forma de excluirse es usar efectivo.
Lea otras preguntas en las etiquetas credit-card pci-dss pci-scope