conformidad con PCI DSS

2

Tengo una pregunta que reclasifica el requisito de PCI DSS, sé que los datos de autenticación confidenciales, como CAV2 / CVC2 / CVV2 / CID4, PIN no se pueden almacenar con ningún formato ni encriptado ni con hash (Requisito 3.2).

Pero los bancos están almacenando estos datos y están certificados, cómo están superando estos requisitos.

El segundo punto es sobre el pago recurrente (no la tokenización) que necesita el ccv para procesar el pago, cómo se puede implementar si los comerciantes o proveedores de servicios no pueden almacenar el cvv.

    
pregunta Petr 21.02.2017 - 15:24
fuente

1 respuesta

4

Por lo tanto, los bancos se conocen como "emisores" en PCI DSS, en la sección 3.2 de PCI DSS puede anotar en la guía

  

Las entidades que emiten tarjetas de pago o que realizan o admiten servicios de emisión a menudo crearán y controlarán datos confidenciales de autenticación como parte de la función de emisión. Es permisible para las compañías que realizan, facilitan o admiten servicios de emisión almacenar datos confidenciales de autenticación SOLAMENTE SI tienen una necesidad comercial legítima de almacenar dichos datos.

Además dice que,

  

Para entidades no emisoras, no se permite retener la autorización posterior de los datos de autenticación confidenciales.

Debido a que emiten tarjetas, están permitidas.

Para responder a su segunda pregunta, si necesita el código CVV para autenticar un pago recurrente, la tokenización es generalmente la forma de evitar el CVV. Usted envía la información de pago al procesador, le devuelven un token que representa la información, que luego se puede usar para enviar un pago con sus credenciales de pago, pero no contiene ninguna información real del cliente y se puede almacenar de forma segura. Esto le permite enviar pagos sin el CVV para pagos recurrentes.

    
respondido por el Ryan Kelso 21.02.2017 - 16:47
fuente

Lea otras preguntas en las etiquetas