PCI: almacenar detalles de la tarjeta fuera de línea

Navega tus respuestas
1

Trabajo para una empresa que envía productos por correo / teléfono. Algunos clientes tienen pedidos que reciben todos los días, con cantidades diferentes.

Varios clientes nos han preguntado varias veces si podemos almacenar allí los datos de la tarjeta, para su procesamiento posterior, citando el hecho de que otros proveedores ofrecen este servicio.

¿Cómo se puede permitir esto? P.ej. ¿El almacenamiento fuera de línea de los datos completos del titular de la tarjeta, incluido el código de seguridad (CSC) de la parte posterior de la tarjeta?

Bajo PCI, si estos datos se reciben a través de un formato no electrónico y con un consentimiento por escrito, ¿se permitiría?

Queremos tratar y acomodar a los clientes tanto como sea posible (especialmente si los competidores ofrecen este servicio), pero queremos ser una queja completa de PCI. Debido a la naturaleza fuera de línea de este caso, tengo problemas para encontrar una respuesta concreta, ¿podría aclararme alguien?

Como en la documentación de conformidad con PCI, no puede almacenar ninguno de los siguientes:

  • CAV2 / CVC2 / CVV2 / CID

¿Seguro que esto también se aplica al almacenamiento fuera de línea?

Estoy seguro de que tengo razón al pensar que esto no se puede almacenar (incluso en una casa 100% sin conexión) pero solo quiero una aclaración, gracias.

    
pregunta crooksey 12.12.2017 - 10:36
fuente

3 respuestas

1

PCI-DSS es bastante claro en este punto en algunos documentos:

Aquí hay uno para obtener orientación sobre cómo procesar los pedidos por teléfono:

enlace

  

el código de verificación de la tarjeta de tres o cuatro dígitos o el valor impreso   en la tarjeta (CVV2, CVC2, CID o CAV2) no se puede retener después de   autorización

Período. No importa qué medio se use.

    
respondido por el schroeder 12.12.2017 - 11:04
fuente
1

Puede almacenar el número de la tarjeta de crédito pero no en texto claro. Debes tener algo que lo encripte y lo único que puedes mostrar si no me equivoco son los últimos 4 dígitos de la tarjeta.

El código que se encuentra en el reverso de la tarjeta, no puede almacenarlo en ninguna situación, solo es válido para verificar la transacción.

    
respondido por el Hugo 13.12.2017 - 11:52
fuente
1

Como señaló @schroeder, no puede almacenar cierta información confidencial después del procesamiento, sin importar el medio.

Quería sugerir una solución que podría ser útil. Puede usar una pasarela de pago para asignar el número de la tarjeta de crédito, luego almacenar el token y cargar contra ese token cuando llega un nuevo pedido. Las pasarelas que he visto tienen terminales virtuales donde puede ingresar todos los datos, o Puede haber una manera de automatizarlo. Esto tiene diferentes implicaciones de cumplimiento de PCI (SAQ C quizás). Pero sin duda es mucho más seguro que almacenar los datos usted mismo. También permitiría una facturación recurrente, etc. si se desea.

    
respondido por el Richard 16.12.2017 - 22:47
fuente

Lea otras preguntas en las etiquetas

Riesgo de seguridad de RDP abierto (3389) ¿Cómo omitir la función htmlentities () en PHP para obtener un XSS?