Transferencia de detalles de la tarjeta de crédito a hoteles sin PCI

1

Estoy desarrollando una aplicación web para hoteles que envían ofertas a los hoteles de los huéspedes. Quiero almacenar los datos de la tarjeta de crédito del huésped de forma segura, a través de un servicio de terceros, ya que no quiero implementar una solución compatible con PCI DSS.

No quiero (y no puedo) procesar los pagos, ya que cada hotel tiene su propia pasarela de pago y procesará los pagos más adelante. Sin embargo, debemos otorgar a cada hotel la capacidad de acceder a los datos de la tarjeta de crédito luego de la aceptación de la oferta por parte de los huéspedes. Los hoteles deben realizar un control antifraude (como una transacción de $ 1) o introducir los datos de CC en su sistema de software de pago.

Me gustaría entender cómo podría lograrse este flujo de trabajo: la mayoría de los servicios en línea ofrecen "tokenización" como una solución de almacenamiento.

Lo que parece bueno, pero no sé cómo enviar la información de la tarjeta a los hoteles. Me parece que la tokenización se usa para realizar más tarde la transacción, lo que no puedo hacer en nombre de los hoteles. Por otra parte, una vez tokenizado, me parece que los datos no se pueden recuperar. Cada hotel debe poder ver y utilizar los datos de CC de sus huéspedes.

Cualquier ayuda o referencia a un proveedor adecuado es bienvenida.

    
pregunta Toovey Abraham 07.04.2017 - 12:17
fuente

1 respuesta

2
  

Quiero almacenar los datos de la tarjeta de crédito del huésped de forma segura, a través de un servicio de terceros, ya que no quiero implementar una solución compatible con PCI DSS

Lo sentimos, aún debes ser compatible con PCI. Lee lo siguiente:

  

P2: ¿A quién se aplica el PCI DSS?

     

A: El PCI DSS se aplica a CUALQUIER organización, independientemente del tamaño o la cantidad de transacciones, que acepte, transmita o almacene cualquier información del titular de la tarjeta.

     

Fuente: ¿A quién se aplica el PCI DSS?

Dicho esto, puede calificar para uno de los niveles menos restrictivos de PCI-DSS. Para averiguarlo, consulte este enlace: Para qué SAQ es apropiado yo?

Además, dependiendo del hotel, es posible que necesite mucho más que el número de la tarjeta de crédito. Por lo general, también enviarán el nombre, la dirección, el vencimiento y CVV para validar la transacción. Si requieren CVV, tiene un problema grave: no puede almacenar CVV de ninguna forma para ningún propósito.

Aquí hay una buena referencia para comenzar con su propio cumplimiento: ComplianceGuide.org .

    
respondido por el John Wu 08.04.2017 - 02:11
fuente

Lea otras preguntas en las etiquetas