¿Alguien ha implementado con éxito un método aprobado por PCI para enviar por correo electrónico datos PAN? Sé que existe la preocupación de administrar todos los requisitos de PCI en una solución de correo electrónico, pero ¿hay alguien que realmente haya cumplido con todos los requisitos de PCI 3.2 y que este haya sido aprobado por su QSA?
Si solicita datos de PAN por correo electrónico, es probable que sea más fácil proporcionar a la persona correspondiente una interfaz HTTPS a través de la cual pueden comunicar su PAN a través de cuadros de texto. Luego, puede controlar cómo funciona el envío de tal manera que pueda cifrar y almacenar de forma segura los datos en recepción.
Si solicita archivos que contienen PAN, probablemente sea más fácil usar un servidor SFTP.
Puede solicitar que la persona agregue el PAN a un archivo adjunto. La persona podría cifrar el archivo con una contraseña aleatoria (que usaría una función de derivación de clave basada en contraseña) y cifrar el archivo con una clave AES de 256 bits. La contraseña utilizada podría comunicarse a través de un canal de comunicaciones separado.
Puede usar el cifrado de correo electrónico PGP / GPG si usted y el corresponsal lo tienen disponible.
No indica en qué dirección va su correo electrónico (dentro o fuera) en las preguntas. Vamos a tomar cada uno en orden.
IN
No puedes evitar que los clientes hagan esto. Puede dejar de solicitarlo y colocar advertencias y avisos de que el correo electrónico será rechazado en su sitio web. Y puede establecerlo claramente en sus políticas y procesos.
Sin embargo, si su cliente le envía un correo electrónico con datos de PAN, debe rechazarlo. El PCI DSS es muy claro que NO PUEDE almacenar los datos PAN en claro. Aceptar cualquier PAN y datos de autenticación (CVV2, ...) violaría claramente el PCI DSS ya que los correos electrónicos se almacenan de forma clara en los servidores de correo electrónico y tal vez en los clientes de correo electrónico. También tiene todo el problema de NO poder proteger el intercambio de CHD de forma clara a través de Internet.
Si no puede rechazar el correo basado en la verificación MOD10 de cadenas numéricas, su única opción es eliminar el PAN en la respuesta y eliminar el correo electrónico de su sistema. Esto debe documentarse en su proceso para manejar los casos de soporte / ventas. Si su personal de ventas está haciendo esto, deténgalos ahora. Es mejor que el cliente llame y le dé CHD para la aceptación de las llamadas MOTO o que envíe por FAX. Indique a sus clientes que NUNCA le envíen CHD por correo electrónico en su sitio web.
OUT
Si está enviando correos electrónicos con los datos de PAN en claro, ¡DETÉNGASE! No deberías estar haciendo esto. Véase más arriba. Si necesita enviar datos PAN a través de correo electrónico por alguna extraña razón, necesita cifrar los datos PAN con AES y luego adjuntarlos al correo electrónico y enviarlos. Las claves deben intercambiarse por SMS o voz para descifrar o usar PKI.
En términos generales, usar el correo electrónico para intercambiar CHD es solo una mala idea. Hay otras soluciones: teléfono, páginas web seguras, FAX, SFTP.