¿El almacenamiento de CVV es compatible con los estándares PCI?

14

Por experiencia personal relacionada con el trabajo, sé que muchos "motores de reserva" almacenan la información CVV para las tarjetas de crédito de los clientes desde el momento en que se realiza la reserva hasta el momento en que el huésped sale del hotel. Para las personas que reserven sus habitaciones con un año de anticipación, eso significa que sus datos de CVV se encuentran en el motor de reservas durante un año completo .

Soy consciente de esto porque mis deberes requieren que me conecte regularmente con varios proveedores de este servicio, y esto me permite tener acceso a una multitud de códigos CVC / CVV / CVV2 de los clientes. Personalmente he observado el comportamiento de las aplicaciones de recopilar el código en el momento de la reserva y conservarlo hasta el check-out.

Ciertos motores de reserva limitan la cantidad de veces que puede consultar la información de la tarjeta de crédito (creo que uno en particular me limitó a 5), pero la información aún se está pasando al Administrador de canales y al PMS, y trabajo con los tres.

Por supuesto, hay ciertas pasarelas de pago que no requieren el código CVV para procesar una transacción. Sin embargo, muchos de los hoteleros con los que trabajo tienen pasarelas de pago que sí.

Me preocupa que la retención de estos datos durante un período tan largo sea contra las normas PCI-DSS u otros requisitos legales o las mejores prácticas de la industria. He leído las respuestas a una pregunta aquí sobre el tema (enlace a continuación), pero el problema aún no está claro para mí respecto a cómo se aplica esto a servicios como los motores de reserva.

Almacenando CVC / CVV / CVV2 hasta que se procese el pago

    
pregunta Andras Gyomrey 19.11.2014 - 13:58
fuente

2 respuestas

7

El almacenamiento de datos confidenciales de autenticación no se puede almacenar explícitamente después de la autorización. Los datos de autorización previa se pueden almacenar y están fuera del ámbito de las PCI DSS. Las marcas de tarjetas de pago individuales determinan los detalles de si se puede almacenar, por cuánto tiempo y qué se debe hacer en el proceso.

El PCI SSC ha dejado claro que estos datos deben protegerse con el mismo vigor que los datos de titulares de tarjetas posteriores a la autorización, como los PAN. El enfoque diferente de la autorización previa frente a la autorización posterior se debe en gran medida a la naturaleza diversa y complicada de los datos de autorización previa que flotan alrededor (su tarjeta física podría considerarse información de autorización previa, y hay personas que literalmente envían sus tarjetas a realizar pagos, aunque no sé si alguien pretende que los titulares de tarjetas lo hagan.

    
respondido por el Hamhot Ptonel 02.02.2015 - 09:55
fuente
13

No se permite almacenar CVV:

Hayalgunascosasaconsiderar:

  1. Ustedasumequebooking.comestáalmacenandoCVV
  2. EstáasumiendoquesenecesitaunCVVparaprocesarunatransacción.

En1):nopuedehabermaneradeconfirmarsibooking.com,Expediaestáalmacenando,amenosquetrabajeallí.TendríanqueresponderaunQSA.Ahora,encuantoalCVVquesealmacena,esdecir,lainformacióndelCVV2,seusapara transacciones CNP . Lo que puedo ver hacer a una empresa es quizás hacer un hash criptográfico, almacenar el hash y hacer una comparación.

En 2): de nuevo, CVV es solo un mecanismo adicional destinado a prevenir el fraude. Realmente no es necesario procesar una transacción.

Una vez que se autoriza un proceso, algunas compañías de tarjetas de crédito les dan a los comerciantes otros identificadores para usar en futuras validaciones. Esto se puede leer / explicar a través de " Las mejores prácticas del comerciante para las transacciones recurrentes ."

Tenía que adivinar cómo funciona:

Consumer --> (CC + CVV2) --> Merchant 
Merchant --> process this --> VISA
VISA --> all is good to go btw here is a summary [additional code] for future reference --> VISA
Merchant --> stores additional code for future reference
Consumer (months later) --> "I want to buy this" --> Merchant
Merchant --> we have data from you, and also from Visa
Merchant --> processed thank you --> Consumer

Mi mejor conjetura sobre una cantidad limitada de lecturas y / o cafeína.

    
respondido por el munkeyoto 19.11.2014 - 14:32
fuente

Lea otras preguntas en las etiquetas