Estoy a cargo de la seguridad de una pequeña tienda en línea que desea solicitar información de la tarjeta de crédito, pero no le cobro al cliente hasta aproximadamente un mes después de la compra, esto no se puede evitar.
Sin embargo, parece ser una pesadilla para propósitos de cumplimiento. Parece como si tuviéramos que almacenar los datos de la tarjeta de crédito durante un tiempo hasta que cobremos al cliente, lo que posiblemente requiera el cumplimiento de pci-dss. No tenemos ningún uso para los números después de ese mes-ish largo período.
¿Esta configuración implica necesariamente el cumplimiento de pci-dss? Si no es así, ¿qué alternativas hay para administrar de manera segura esa información en esta escala de tiempo?