Recepción de un número de tarjeta de crédito encriptado - PCI

2

Estamos en una situación en la que nuestra aplicación recibe una confirmación de pago de un servicio de terceros, que también incluye un número de tarjeta de crédito cifrado. Nuestra aplicación necesita almacenar la respuesta. Aparte de eso, de ninguna manera no utilizamos el número de tarjeta de crédito. La aplicación de terceros está certificada por PCI.

  1. ¿Nuestra aplicación está dentro del alcance de PCI?
  2. Si nuestra aplicación está dentro del alcance de PCI, ¿funcionará una auto certificación?

(Esta pregunta se hizo primero en Stack Overflow .)

    
pregunta kallada 18.12.2016 - 01:08
fuente

2 respuestas

1

SI. Pero no es tan simple:

De Información de aplicabilidad PCI-DSS 3.2 :

  

PCI DSS se aplica a todas las entidades involucradas en el procesamiento de tarjetas de pago, incluidos comerciantes, procesadores, adquirentes, emisores y proveedores de servicios.

     

PCI DSS también se aplica a todas las demás entidades que almacenan , procesan o transmiten datos del titular de la tarjeta y / o datos confidenciales de autenticación.

El número de la tarjeta (Número de cuenta principal o PAN) debe hacerse ilegible al almacenarlo, en cualquier situación. El hecho de que lo recibas encriptado no es relevante.

Una gran pregunta aquí es: ¿Qué eres? ¿Eres un comerciante? ¿Un proveedor de servicios? ¿Un proveedor de aplicaciones de pago? (este último parece poco probable, a partir de la información que proporcionó)

PCI-DSS es un estándar de seguridad. AFAIK, no es requerido por ninguna regulación gubernamental, sino por los procesadores de pagos. Entonces, si no es responsable ante un procesador de pagos, y no es algo que quiera tener para sus clientes (en el caso de que sea un proveedor de servicios), nadie lo obliga a tener la certificación PCI-DSS.

Si usted es un comerciante, entonces su procesador de pagos establece los requisitos exactos. Por ejemplo, aquí están los requisitos de Visa para sus comerciantes, con respecto al cumplimiento de PCI-DSS.

También me preguntaría si realmente necesita almacenar el PAN. ¿Para qué sirve el PAN encriptado?

    
respondido por el David A 28.12.2016 - 21:10
fuente
1

bajo el supuesto de que los datos están encriptados con criptografía segura y no tiene la clave de encriptación o una interfaz en el sistema que pueda descifrarlos que su aplicación está fuera de alcance

    
respondido por el BokerTov 20.12.2016 - 12:45
fuente

Lea otras preguntas en las etiquetas