Mi cliente se envió por correo electrónico los datos de su tarjeta de crédito y me ha dado acceso a su correo electrónico compartiendo el nombre de usuario y la contraseña. Ella quiere que compre boletos de avión, artículos, en su nombre, usando su tarjeta. No almacenaré ninguno de sus detalles en mi sistema. Tampoco cargaré su tarjeta por los servicios de mi empresa. ¿Mi empresa todavía necesita ser compatible con PCI con esta configuración?
Estos son los servicios relacionados con PCI que está proporcionando a este cliente:
Basado en la definición de PCI SSC de un proveedor de servicios, se podría considerar que actúa como proveedor de servicios para este cliente:
[Un proveedor de servicios es una] entidad comercial que no es una marca de pago, directamente involucrada en el procesamiento, almacenamiento o transmisión de datos del titular de la tarjeta en nombre de otra entidad. Esto también incluye a las compañías que brindan servicios que controlan o podrían afectar la seguridad de los datos del titular de la tarjeta.
Su empresa debe decidir si quiere asumir el riesgo de actuar como proveedor de servicios para este cliente. Como se indica en los comentarios, puede haber otras formas en que puede realizar los servicios solicitados sin tener que tener el número de tarjeta del cliente.
¿Está planeando este mecanismo para todos sus clientes? También como empresa, debe rechazar estas solicitudes de los clientes e informarle sobre el riesgo potencial de compartir una cuenta / contraseña de correo electrónico que alguien pueda usar para recuperar contraseñas usando la funcionalidad "Olvidé mi contraseña" en casi todos los sitios web. También se aplica PCI si está almacenando datos del titular de la tarjeta en su configuración y nunca debe almacenar información como CVV, etc. en el lado posterior de la tarjeta. Suponiendo que no está almacenando esta información en ninguna parte de su infraestructura controlada y que la información confidencial está en manos del proveedor de soluciones de correo electrónico y, supuestamente, está bajo el control del Cliente, puede salirse con el cumplimiento de PCI, pero puede surgir problemas mayores en caso de disputa. Además, esto no parece ser una solución empresarial escalable para mí o una práctica ética.
Puede que esto le resulte extraño, pero técnicamente, dado que está actuando como un agente del titular de la tarjeta, no existe ningún requisito para que cumpla con las normas PCI DSS. No tiene una obligación contractual con un banco adquirente (comerciante) o con un plan de tarjeta que podría exigirle que cumpla con un contrato. Si su cliente estaba preocupado por la seguridad de los detalles de su tarjeta, podría exigirle que cumpla con el PCI DSS (pero, dado lo que dijo, no creo que la seguridad esté en primer plano).
Como dice @schroeder, este tipo de servicios de conserjería son bastante comunes.
Usted dice que no cargará la tarjeta usted mismo por la prestación de su servicio. Esto es bueno porque si lo hiciera, sería un comerciante y se aplicarían las PCI DSS.
Lea otras preguntas en las etiquetas pci-dss