Almacenamiento de tarjetas de crédito para compras en nombre del cliente

Por lo que has dicho, claramente no entiende el enorme tamaño del riesgo que ha corrido con esto. Supongo que si él está haciendo compras para otras personas, esas otras personas son ricas y tienen tarjetas de crédito con un límite alto de dólares (posiblemente ilimitado). Debe saber que si se roban estos datos, será personalmente responsable de todo el fraude cometido.

Si tiene las tarjetas de clientes de 10 millones de dólares, debe tratar estos números de tarjeta como si fueran diamantes por un valor de $ 10 millones. Él debe mantenerlos en un pedazo de papel, encerrado en una caja fuerte. Si le pidiera a uno de mis empleados que use una tarjeta, les pediría que vinieran a mi oficina y me pidieran que escribiera el número de la tarjeta para ellos, en lugar de dar los números de la tarjeta.

Otra mala noticia es que si una de las tarjetas de sus clientes es robada en otro lugar (en un restaurante o en una bomba de gas), y si Visa descubre que ha guardado estos números de tarjeta, pueden responsabilizarlo de todos modos. - incluso si no tuvo nada que ver con el robo o el fraude real.

Facilitar el acceso debe ser lo opuesto a lo que él quiere. En su lugar, debería estar paranoico sobre quién puede llegar a esta lista.

Dado que carece de los aspectos básicos de seguridad (demostrado al no entender el valor de lo que se le ha encomendado), dudo aún más de su capacidad para mantener un entorno informático seguro. Necesita comprender que no puede confiarse esta información en una computadora que podría ser pirateada a cambio de un poco de comodidad.

Esto es casi más una cuestión regulatoria o de procedimiento que una pregunta técnica. La mayoría de las veces, el comerciante no podrá almacenar gran parte de esta información (en particular, el código CVV2), o se le pedirá que cumpla con algo como PCI-DSS, por lo que asumiendo que su cliente es el adquirente ( por ejemplo, si tiene una cuenta de comerciante y procesa los pagos), probablemente debería hablar con su procesador y contratar a un consultor calificado para que cumpla con los requisitos.

En general, no debes hacer esto en absoluto si puedes evitarlo. Sin embargo, si es absolutamente necesario, algunas estrategias implican cifrar los datos de alguna manera y almacenarlos en un lugar donde sea difícil acceder a ellos desde Internet (como una computadora sin conexión o una computadora en una red restringida de algún tipo) . Es incluso mejor si cada tarjeta se puede cifrar individualmente, posiblemente con algo de sal para dificultar el análisis de cripto, con una clave que se encuentre en un HSM en algún lugar que solo exista cuando sea necesario.

Me doy cuenta de que esto es pintar a grandes rasgos, pero si estás buscando una solución llave en mano para esto, estás un poco fuera de tu alcance.

La forma más fácil en que puedo pensar para proteger los detalles de la tarjeta de crédito sería escribirlos en un papel y guardarlos en un archivador cerrado. Luego puede quitarlos de su computadora.

Si planea almacenar los datos de la tarjeta de cliente, estará cubierto por las regulaciones de la Industria de Tarjetas de Pago (PCI) que requieren que los datos de la tarjeta se almacenen de forma segura y que sus sistemas sean auditados.

Hay mucho por hacer, pero podrías comenzar aquí. enlace

Esencialmente, debe considerar cuidadosamente si realmente necesita hacer esto o si es más seguro y más barato pagar a un tercero para que maneje sus transacciones.