A partir de los comentarios, parece que su pregunta es esencialmente esta: ¿por qué se trata la documentación en papel de una transacción de manera diferente a las respuestas electrónicas o la documentación de una transacción, al menos en términos de aquellos documentos que contienen PAN completos y sin cifrar? (Significa números de tarjeta de crédito y débito completos, sin enmascarar).
Bueno, mi primera respuesta es simplemente esta: idealmente los comerciantes no deberían mantener los materiales con PAN completos en ellos, incluso en papel. Aunque los Requisitos de PCI que se aplican a los comerciantes de SAQ-A no prohíben que los números de las tarjetas de texto claro estén visibles en la documentación en papel, sí imponen requisitos a los que debe prestar atención en términos de creación, almacenamiento, manejo, uso y destrucción de dichos documentos en papel. Para obtener información más completa sobre esos requisitos, consulte " ¿Podemos imprimir los datos del titular de la tarjeta bajo el marco de cumplimiento de PCI DSS y seguir cumpliendo ?" Pero la conclusión es que crear, almacenar o simplemente recibir materiales impresos con datos completos de PAN en el mejor de los casos crea más problemas de seguridad para usted y, en el peor de los casos, aumenta el riesgo de que los datos de la tarjeta se vean comprometidos. Por lo tanto, a menos que realmente tenga una necesidad especial e inevitable de recibir y almacenar temporalmente los números de las tarjetas en el papel de su procesador (y francamente mi mente está vacilando al pensar en cualquier escenario en el que eso sería cierto) la mejor manera de avanzar simplemente no es Para recibir o almacenar en absoluto. Y, francamente, si está tratando con un procesador de pagos que le envía material impreso con PAN completos sin una razón excepcionalmente buena , le recomendaría firmemente que analice otra vez si desea quédate con ese procesador.
En segundo lugar, si nos planteamos la pregunta de por qué se le puede permitir almacenar números de tarjetas de texto en claro cuando se le prohíbe hacerlo electrónicamente, la respuesta es bastante clara: Internet es un lugar peligroso, y cualquier máquina conectada a él está expuesta a ese peligro. Cualquier máquina o red que tenga una conexión electrónica está expuesta, en teoría, a ataques electrónicos de cualquiera de los más de dos mil millones de personas que ahora tienen algún tipo de acceso a ella, desde todos los rincones del mundo. Las incansables herramientas de escaneo automático o los atacantes humanos que verifican la seguridad de cada comerciante del que tienen conocimiento de la existencia pueden verificar el enrutador que une su pequeña red a Internet para detectar problemas de configuración de seguridad. Problemas que pueden permitir que un atacante acceda a todo en su red como si estuviera físicamente en su / s edificio / s y se conectara con un cable Ethernet o se conectara a su wifi. Las campañas automatizadas de phishing bombardean a cientos de miles o millones de usuarios con correos electrónicos que contienen enlaces que conducen a sitios web que sirven malware o vienen con archivos adjuntos que están infectados con él. En cualquier caso, un atacante nuevamente obtiene acceso a su red interna o, peor aún, puede obtener una copia de cualquier número de tarjeta ingresado en una máquina infectada o incluso cualquier número de tarjeta que siempre que venga a su memoria , incluso por unos pocos segundos.
Por el contrario, los documentos en papel simplemente no están tan expuestos a los malos en la misma medida y de la misma manera. Solo las personas que saben que usted guarda los datos y donde pueden tratar de robarlos deliberadamente, una situación muy diferente, aunque sigue siendo preocupante, que una situación en la que los PAN se mantienen como información electrónica en un dispositivo que puede interactuar con una red que dos mil millones de personas. (Y muchos escaneos electrónicos que se ejecutan en él desde malos actores, persiguen sistemas mal defendidos y datos financieros inadecuadamente asegurados en ellos). Dicho esto, como se comentó anteriormente, la mejor práctica, con mucho, es no almacenar ningún número de tarjeta sin cifrar. en cualquier lugar en sus operaciones, ya sea en formato electrónico o en papel.