¿Las tarjetas de crédito almacenan primero cuatro y últimos cuatro que PCI SAQ?

1

En nuestra aplicación, solo transferimos los datos del titular de la tarjeta a un proveedor de servicios compatible con PCI DSS, y no los almacenamos nosotros mismos. Solo almacenamos los primeros cuatro y los últimos cuatro dígitos del número de tarjeta de crédito para futuras referencias:

1234 **** **** 1234

Tenemos más de 300.000 transacciones anuales, por lo que nuestro SP nos obligó a completar un formulario SAQ, pero incluso no están seguros de cuál rellenar. Estamos entre SAQ D (que definitivamente parece una exageración) y SAQ A-EP . ¿Algún pensamiento?

Actualizar:

Recopilamos la información en nuestro sitio web. Obtenemos la información en un formulario, que publicamos en nuestro backend. Luego, el backend transmite la información del titular de la tarjeta al SP compatible con PCI y solo almacena la máscara anterior en la base de datos.

    
pregunta Hasan Can Saral 11.07.2017 - 10:05
fuente

1 respuesta

1

Desafortunadamente para usted, ya que los datos de la tarjeta cruzan su servidor (independientemente de lo que esté almacenando), está sujeto a la totalidad de SAQ D. Este documento proporciona una buena descripción general de los distintos niveles y sus requisitos.

Tanto SAQ A como SAQ A-EP requieren:

  

Su empresa no almacena, procesa ni transmite electrónicamente los datos del titular de la tarjeta en su   sistemas o instalaciones, pero se basa totalmente en un tercero (s) para manejar todas estas funciones

La publicación de los datos de la tarjeta en su servidor backend que luego los envía al proveedor del servicio significa que do "procesa [y] transmite los datos del titular de la tarjeta en sus sistemas". Si su servidor se ve comprometido de alguna manera (como Heartbleed ), el atacante tendrá acceso a los datos de esa tarjeta. Por lo tanto, el nivel SAQ más alto y todas las precauciones adicionales que lo acompañan.

Lo ideal sería que pudieras reescribir tu sistema para publicar directamente desde la página web al proveedor de servicios, sin que regrese nada a tu servidor. Deben poder proporcionarle un número de tarjeta enmascarada en su respuesta, para que usted las almacene, pero también es probable que solo pueda enviar los datos enmascarados a su servidor junto con su respuesta. Solo debes asegurarte de que los datos completos no regresen, si quieres calificar para A-EP.

    
respondido por el Bobson 11.07.2017 - 14:18
fuente

Lea otras preguntas en las etiquetas