¿Requerir a los usuarios completar un PDF con información de CC y enviarlo por correo viola el cumplimiento de PCI?

Navega tus respuestas
3

Estoy intentando hacer un pedido con una empresa estadounidense y resido fuera de los Estados Unidos. Al realizar el pedido (y ya enviar el pago), recibí un correo electrónico en el que me pedía que llenara un documento PDF para verificar mi identidad y evitar el fraude de tarjetas de crédito de tarjetas de crédito extranjeras.

Este documento le solicita que complete nuevamente la información de su tarjeta de crédito, así como una fotocopia de su identificación gubernamental, así como la parte frontal y posterior de la tarjeta de crédito. Al cumplimentar que se espera que usted escanee el PDF y lo envíe de vuelta.

Seguramente esto no puede ser una práctica segura. No se menciona una política de privacidad ni quién tiene acceso a la cuenta de correo electrónico a la que se envía, ni hace mención de las políticas de archivo.

¿Esto es una violación de PCI (o estándares de cumplimiento similares)?

    
pregunta DKNUCKLES 06.11.2012 - 22:49
fuente

3 respuestas

2

Sí, esto estaría en contravención del requisito 4.1 de PCI ("Use criptografía fuerte y protocolos de seguridad para proteger los datos confidenciales de los titulares de tarjetas durante la transmisión a través de redes públicas abiertas").

Es muy probable que el manejo del correo en el extremo receptor esté en contravención de muchos más requisitos, incluido el requisito 3.2.2 ("No almacenar el código o valor de verificación de la tarjeta").

Si esta empresa es un comerciante y, por lo tanto, está sujeta a PCI, no veo la forma en que podrían cumplirla. No creo que pueda haber controles de compensación plausibles para este tipo de cosas.

    
respondido por el bobince 08.11.2012 - 12:09
fuente
3

¿Por qué no preguntas sobre su política de privacidad? Sería la única manera de resolver ese aspecto de la pregunta.

Espero que su banco o compañía emisora de tarjetas sean las mejores personas para preguntar si la solicitud cumple: tienen el conocimiento, la autoridad y la responsabilidad, y usted puede verificar su identidad. En el mejor de los casos, los comentaristas podrán remitirlo a un documento de normas, que deberá leer, y luego preocuparse si su interpretación es correcta.

En cuanto a la práctica en sí, sí, creo que es arriesgado. Compárese lo mal que necesita comprar el producto de ese proveedor. Las tarjetas de crédito siempre se pueden cancelar, pero puede haber mucha información sobre una identificación del gobierno que no debería estar flotando en el almacén de datos de otra persona.

    
respondido por el scuzzy-delta 06.11.2012 - 23:11
fuente
0

Enviar por correo electrónico los datos del titular de la tarjeta a través de Internet es una violación de PCI DSS porque el correo electrónico no es una forma segura de comunicación. Sin embargo, la práctica de completar el formulario PDF con su información confidencial y cargarlo a través de sFTP o fax, NO es una violación de PCI. Pero aquí están las preguntas, ¿qué hacen y cómo manejan ese documento una vez que lo obtienen? ¿Son compatibles con PCI? ¿Tienen un procedimiento operativo estándar para redactar los datos confidenciales una vez completada la transacción? Aquí hay un enlace al sitio web Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago y aquí hay una sección completa en DSI PCI .

Según la información que proporcionó, no creo que esta empresa sea compatible con PCI y no les enviaría mi información.

    
respondido por el Tommy 02.04.2015 - 15:52
fuente

Lea otras preguntas en las etiquetas

Corrigiendo el problema de bits altos en la implementación crypt () de PHP Administrador de contraseñas - id_rsa como archivo clave