Almacenar números de tarjetas de crédito para pagos empresariales

En mi trabajo de PCI, no he tratado con esta pregunta, pero tengo entendido que depende del emisor, la marca y el contexto corporativo.

En el pasado, Visa y MC han considerado PCI a nivel de empresa para aplicar a todos los PAN en los que la empresa tiene visibilidad como parte de su negocio, incluidas las tarjetas corporativas emitidas. Amex a veces no tiene.

Aconsejaría contactar a su abogado y a su emisor para comprender lo que dice su acuerdo de emisión y cuáles son sus opiniones prácticas.

Independientemente de si se aplica o no PCI, también recomendaría contactar a su equipo de seguridad para organizar una solución que permita el almacenamiento segregado de PAN fuera de su referencia en sistemas de datos corporativos comunes como correo electrónico, tareas y calendario para satisfacer Los casos de uso que ha descrito de manera cuidadosa, clara y útil.

Esto puede tomar la forma de una solución de administración secreta a nivel corporativo, que no se aplica específicamente a las tarjetas de crédito, pero que admite la separación del almacenamiento y la transmisión de información confidencial para que, por ejemplo, los correos electrónicos / tareas / calendarios puedan decir "use la tarjeta # 25 para esto" en lugar de "use PAN 5555 ... caducidad xx / yy para esto".

Si está hablando de las tarjetas de crédito de su propia empresa, esto no tiene nada que ver con el cumplimiento de PCI. A nadie le importa cómo guarda sus propias tarjetas de organizaciones. Diablos, puedes guardar fotos de ellas en un álbum de fotos de Facebook para que lo vea todo el mundo, y nadie te pedirá que te detengas o te multen (aunque tu banco puede negarte la responsabilidad y obligarte a pagar la factura si violas sus términos) de servicio).

El cumplimiento de PCI se trata de almacenar las tarjetas de crédito de otras personas para que pueda facturarles los servicios que solicitan. Existen muchos servicios que proporcionan almacenamiento de tarjetas de crédito compatibles con PCI para tales fines (Stripe es solo un ejemplo) pero ninguno de estos servicios funcionará para usted porque todos ocultan explícitamente los detalles de la tarjeta de crédito (ese es el punto después de todo). En esencia, el intercambio con el procesador CC tiene el siguiente aspecto: le gustaría facturar a la tarjeta de crédito de Bob algo que le gustaría comprar, el procesador CC se dirige directamente a Bob para obtener el número de la tarjeta de crédito y luego le dice al procesador cómo mucho para facturar Nunca tiene la tarjeta y el procesador nunca compartirá los detalles con usted.

Esto obviamente es completamente diferente de lo que quieres. Estas son sus propias tarjetas de crédito, por lo que no tiene sentido ocultarse los detalles, solo desea almacenarlos de forma segura. Este no es el lugar para recomendaciones de productos, pero creo que tiene su respuesta de todos modos: cosas como los administradores de contraseñas o similares son una opción perfectamente razonable porque no tiene que preocuparse por el cumplimiento de PCI con sus propias tarjetas de crédito. De hecho, el cumplimiento de PCI ni siquiera tiene sentido aquí.

Los otros comentarios son acertados. Técnicamente, esto es lo que se conoce como "riesgo del emisor", por lo que puede verificar el contrato que tiene con quien le emitió las tarjetas o pedirlas. La consideración importante es que si estos detalles de la tarjeta se pusieran en peligro y se usaran de manera fraudulenta, técnicamente sería su responsabilidad por no tomar la seguridad adecuada. Entonces, desde una perspectiva de seguridad de la información, evalúe el riesgo y luego tome la seguridad apropiada (e ignore el cumplimiento de PCI DSS). En muchos lugares que he consultado, un administrador de contraseñas fue la respuesta correcta.

También hay preguntas frecuentes muy poco útiles en el sitio web de PCI SSC: enlace