Pago seguro con tarjeta de crédito en línea en una escala de tiempo diferida

3

Estoy a cargo de la seguridad de una pequeña tienda en línea que desea solicitar información de la tarjeta de crédito, pero no le cobro al cliente hasta aproximadamente un mes después de la compra, esto no se puede evitar.

Sin embargo, parece ser una pesadilla para propósitos de cumplimiento. Parece como si tuviéramos que almacenar los datos de la tarjeta de crédito durante un tiempo hasta que cobremos al cliente, lo que posiblemente requiera el cumplimiento de pci-dss. No tenemos ningún uso para los números después de ese mes-ish largo período.

¿Esta configuración implica necesariamente el cumplimiento de pci-dss? Si no es así, ¿qué alternativas hay para administrar de manera segura esa información en esta escala de tiempo?

    
pregunta Everyone_Else 26.08.2016 - 08:33
fuente

2 respuestas

3

PCI-DSS entra en juego en tu escenario. El tiempo es irrelevante. Es el almacenamiento del PAN el que desencadena la complejidad de PCI-DSS.

Si quieres evitarlo, diseña un enfoque diferente. Por ejemplo, los procesadores de pagos pueden poner una autorización en los fondos por un tiempo y luego procesar el pago completo.

Hablaría con los muchos procesadores de pagos que existen para ver qué pueden hacer por su organización.

    
respondido por el schroeder 26.08.2016 - 08:57
fuente
1

Existen muchas soluciones disponibles en el mercado que las compañías de tarjetas de crédito admiten para pagos 'recurrentes' y PUEDE tener un pago 'recurrente' que solo se activa una vez. Como se sugirió anteriormente, la CLAVE es liquidar una pequeña transacción con tarjeta de crédito en el momento del acuerdo, el momento en que el comprador presenta su información de tarjeta de crédito en línea en este momento, DEBE verificar la tarjeta en este momento ya que no se le permite almacenar el CVV una muy buena idea para poder demostrar que borró la transacción inicial en una serie recurrente CON el CVV (que NO almacena, pero DID borra en la primera transacción). Encuentre una pasarela de pago que admita transacciones recurrentes (Paypal y Authorize.net hacen esto). Le sugiero que utilice un servicio que "muestre" la información de la tarjeta; almacenan la información de la tarjeta por usted y le otorgan un token. Puede guardar ese token de forma segura con poco impacto de cumplimiento de PCI: cuando desee ejecutar otro cargo. En la misma tarjeta, presenta el token y su puerta de enlace busca la información real de la tarjeta de crédito que almacenaron contra el token y genera el cargo por usted. (Stripe y Braintree hacen esto, y muchos otros servicios están "trabajando en ello")

    
respondido por el Ron Robinson 26.08.2016 - 21:16
fuente

Lea otras preguntas en las etiquetas