Método compatible con PCI DSS para recibir datos de la tarjeta para un comerciante sin almacenamiento electrónico

2

El comerciante en cuestión no tiene almacenamiento electrónico de datos del titular de la tarjeta.

Actualmente, reciben CHD (no CVV) de forma no segura y lo almacenan en papel para realizar pagos a través de transacciones POS con tarjeta no presente.

¿Cuál es una posible solución para recibir estos PAN y detalles de manera segura, considerando que los almacenarán físicamente de acuerdo con el requisito 9 de las PCI DSS?

Gracias por tus respuestas.

    
pregunta Luvcarft 06.12.2017 - 17:36
fuente

1 respuesta

1

A continuación se describen algunas de las mejores prácticas para almacenar papel con CHD de forma compatible. Nota: esto solo trata el manejo y almacenamiento del papel, no cómo se recibe el CHD de una manera "no segura".

  • Establecer una política de retención de registros. La política debe indicar qué se está almacenando, cómo se almacenará, por cuánto tiempo se almacenará y la disposición del papel al final del período de retención. La política debe seguir el DSS con respecto a no almacenar CHD después de la autorización, la trituración transversal, etc.
  • Establecer un procedimiento de retención de registros. El procedimiento debe describir los pasos a seguir para cumplir con los requisitos de la política, especialmente cómo se debe manejar y destruir el papel.
  • Establezca una política de escritorio limpio donde los papeles con CHD no se puedan dejar en el escritorio cuando una persona no esté en su escritorio.
  • Piense durante toda la vida útil del papel con CHD: impresión, movimiento, almacenamiento, sentado en el escritorio, antes de la autorización, después de la autorización, eliminación, etc.
  • Operativamente, aquí hay algunos consejos:
    • Tenga un gabinete cerrado con personas definidas con la llave del gabinete.
    • Después de la autorización, apague el PAN con un marcador de magia grueso. Si el papel ya no es necesario después de la autorización, destrúyalo. Si necesita el papel, guárdelo en el gabinete cerrado. A veces las personas incluso fotocopian el papel después de la redacción (y destruyen el original) para deshacerse del PAN.
    • En el gabinete cerrado con llave, tenga una hoja de seguimiento para rastrear cuándo se colocó el papel y cuándo se retiró y destruyó. Lo he visto donde los papeles de un día están en la misma carpeta en el gabinete. Eso simplifica la aplicación de la política de retención de registros, ya que todo lo que el empleado debe hacer es agarrar la carpeta envejecida y destruir el contenido.
    • Si se utiliza una empresa de trituración de terceros, deberá asegurarse de que la empresa de trituración sea compatible con PCI.
respondido por el waltonob 10.01.2018 - 17:53
fuente

Lea otras preguntas en las etiquetas