Los datos de la tarjeta de crédito se envían como un formato de imagen simple [cerrado]

Navega tus respuestas
1

La información completa del número de cuenta más Información de identificación personal (PII) para una tarjeta de crédito se captura en un documento que es Escaneado como una imagen para su posterior procesamiento. Esta imagen luego se carga en otra aplicación. Me preocupa que estas imágenes escaneadas contengan todos los datos de la tarjeta de crédito (número de cuenta principal, nombre del titular de la tarjeta, fecha de caducidad, número CVV) y otra información de PII, como la dirección residencial y el número de teléfono, todo en texto sin formato, aunque se guarda como una imagen.

Los datos se envían a través del protocolo HTTPS. Estoy buscando más controles para reforzar esto al capturar los datos de seguimiento en el primer punto. Solicito más información sobre esto.

(Poco más se explica: los datos de la tarjeta se recopilan en un documento escrito (todos los datos de una tarjeta de crédito). El documento se escanea y la imagen se envía a través de una aplicación al proveedor de servicios. El agente del proveedor de servicios ve los datos y la ingresa manualmente en otra aplicación. Esta aplicación tiene el truncamiento habilitado)

    
pregunta Bala 08.01.2016 - 17:01
fuente

2 respuestas

3

Independientemente del formato en el que se encuentre, almacenar datos completos de PAN aumenta el riesgo de seguridad y, por lo tanto, el alcance del cumplimiento de PCI.

Debería asegurarse de que, en cada paso, se cumplan estos requisitos de cumplimiento:

  1. Hachas unidireccionales basadas en criptografía fuerte
  2. Truncamiento
  3. Criptografía fuerte
  4. fichas y almohadillas de índice

Si almacena los datos PAN como se indica, entonces Requisito 3.4 de las PCI DSS requiere que sea ilegible. e irrecuperable a través de uno de esos métodos.

Si implementas uno de esos métodos, estás bien.

Si no tiene que implementar uno de esos en esa imagen escaneada. El cifrado de una imagen como un ZIP sería una opción. La administración de claves siempre es un problema con el cifrado, pero si se diseña correctamente, es factible.

    
respondido por el Rodrigo M 08.01.2016 - 17:22
fuente
2

No puede almacenar datos confidenciales de tarjetas de crédito "después de la autorización" (según requisitos de PCI DSS , punto 3.2), por lo que debe asegurarse (y proporcione evidencia) de que cada copia (la copia original impresa capturada en el escáner y la digital se envía a la aplicación en ambos extremos ) son de forma segura destruidos inmediatamente después. No es un problema en sí mismo enviar los datos de la forma que desee, pero podría ser demostrar que cada copia se ha eliminado correctamente:

  
  • Los materiales en papel deben ser cortados en tiras cruzadas, incinerados,   o pulpa [...]
    •   
  • Los datos del titular de la tarjeta en medios electrónicos se deben proporcionar   irrecuperable (por ejemplo, a través de un programa de borrado seguro de acuerdo con los estándares aceptados por la industria para la eliminación segura, o destruyendo físicamente los medios   )
    •   

Además, si hay información personal, algunos países tienen su propia regulación que requiere niveles de protección para esos datos que son similares a los estándares PCI. Compruebe los que se aplicarían a su caso.

    
respondido por el NuTTyX 09.01.2016 - 03:05
fuente

Lea otras preguntas en las etiquetas

¿Qué hace el navegador cuando consulta xxx.example.com y obtiene un certificado para yyy.example.com (el dominio de nivel superior es el mismo)? ¿Cómo se diseñaría la seguridad en dispositivos industriales con acceso a Internet / redes que funcionarán durante décadas donde el mal funcionamiento podría costar vidas? [cerrado]