Requisito de conformidad con PCI al almacenar datos de la tarjeta en el dispositivo del usuario

Question

Requisito de conformidad con PCI al almacenar datos de la tarjeta en el dispositivo del usuario

#1 de Ryder (2 votos)

2

Tengo una aplicación donde llevo al usuario a una pasarela de pago compatible con PCI para completar el pago. Quiero dar la funcionalidad de "Recordar mi tarjeta" para que el usuario no tenga que volver a ingresar los detalles en el futuro. Estoy pensando en almacenar los datos de la tarjeta en el dispositivo del usuario (encriptado y sin hash porque necesitaría revertirlo al número de tarjeta real como lo requiere la pasarela de pago). El CVV no sería almacenado.

¿El almacenamiento de los datos en el dispositivo del usuario que en la mayoría de los casos solo sería utilizado por el usuario, constituye una violación de los estándares de seguridad aceptables? En caso afirmativo, ¿cuáles son los niveles de requisitos de cumplimiento de PCI DSS / PA DSS aquí?

credit-card storage pci-dss

pregunta Rahul Nanwani 08.06.2016 - 16:16

fuente

1 respuesta

Lea otras preguntas en las etiquetas credit-card storage pci-dss

¿Qué escenarios realmente se benefician de los JWT firmados? ¿Cómo capturar todo el tráfico de un nuevo dispositivo?

score 2 · Answer 1

Las reglas de PCI-DSS generalmente requieren que cualquier PAN almacenado esté encriptado de tal manera que no requiera uno, sino dos autenticadores para descifrar.

En la práctica, esto normalmente significa que incluso si pretende que el usuario final sea el único con una copia cifrada, esto sería insuficiente desde el punto de vista normativo. "Quién" tiene una copia es irrelevante, a este respecto. Si el descifrado se puede lograr con una sola clave del proveedor (es decir, usted), y no puede afirmar que el dispositivo en el que está almacenado está cifrado (es decir, un cliente que responde con una respuesta verdadera / falsa sobre el cifrado del sistema de archivos después de una solicitud de transacción) actualmente no es una capacidad de ningún dispositivo móvil que conozca), entonces no tendrá forma de declarar que los dispositivos de usuario final están fuera del alcance durante una auditoría de PCI.

Un escenario podría funcionar: si tiene una aplicación que genera y asegura su propia clave para almacenar la información de la tarjeta, y que luego puede responder a su aplicación de pago del lado del servidor con un token para las tarjetas utilizadas anteriormente en ese sitio, entonces puede (probablemente) satisfacer los requisitos básicos. Siempre y cuando la aplicación del lado del servidor pueda almacenar y recuperar satisfactoriamente el PAN al enviar un token de referencia durante la transacción, está bien. Sin embargo, incluso en ese caso, el usuario debe proporcionar manualmente el CVC o CVV, lo que explícitamente no se puede almacenar junto con el PAN.

También es posible que el usuario final almacene su propia tarjeta, pero no se puede permitir que ningún programa o aplicación solicite esos datos al usuario final y espere recibir la respuesta automáticamente, a menos que almacene una clave única para ese servidor de usuario - Lado para el descifrado del PAN. Esta es la razón por la cual la estrategia actual es que Android y Apple almacenen "datos de la tarjeta" y campos de llenado automático cuando reconocen una solicitud para completar los datos de la transacción. Eso debería estar bien, pero un auditor pedante podría fácilmente exigirle que tenga alguna forma de confirmar que el dispositivo del usuario final solo funciona con un sistema de archivos cifrado.

En pocas palabras: de hecho, solo desea una página en la que el navegador móvil de alguien pueda trabajar con "autocompletar" de una manera amigable. Obtendrá los mismos resultados, sin tener que preocuparse por las limitaciones de almacenamiento PCI PAN adicionales.