¿El almacenamiento de CVV en dos partes por separado es una violación de PCI?

1

Estaba revisando los documentos de integración de un procesador de pagos y, según entendí el código, los documentos y el desmontaje, están haciendo lo siguiente:

  1. Encriptando el CVV en el lado del servidor
  2. Devolviendo la mitad del texto cifrado al cliente
  3. Permitir que el cliente almacene el texto cifrado parcial

En los pagos adicionales, solicitan el texto cifrado parcial y permiten que el pago se transfiera sin solicitar nuevamente el CVV.

El documento PCI menciona lo siguiente para CVV:

  

3.2.d Para todas las demás entidades, si se reciben datos confidenciales de autenticación, revise los procedimientos y examine los procesos para eliminar de forma segura los datos y verificar que no se puedan recuperar.

¿Dividir el CVV y luego almacenarlo calificaría como "irrecuperable", ya que ambas partes no se pueden usar individualmente para recuperar el original? ¿O esto contaría como una violación?

    
pregunta Anonymous 17.02.2017 - 13:35
fuente

2 respuestas

1

No soy un QSA, pero este es mi entendimiento:

La intención de esa regla es que el CVV solo está disponible para enviarlo al banco emisor cuando el titular de la tarjeta lo escriba en ellos mismos . Si el procesador puede recuperar el CVV de cualquier manera que les permita enviarlo sin que el titular de la tarjeta lo ingrese, eso es una violación.

Por sí solo, cifrar y dividir los datos cifrados no es un problema. Sin embargo, si puedes enviar tu mitad y combinarla con su mitad, entonces eso es recuperable. Y como no tendría sentido en este proceso si no pudiera enviar su mitad, entonces todo esto es, de hecho, una violación.

    
respondido por el Bobson 17.02.2017 - 14:47
fuente
-1

La CVV pertenece al titular de la tarjeta, y solo al titular de la tarjeta.

Por sí mismo no tiene sentido. Sin embargo, con la información de la tarjeta de crédito, se considera información del titular de la tarjeta y debe tratarse como tal.

El rol que desempeña el CVV es que el titular de la tarjeta puede usarlo para probar que ellos y solo ellos poseen la Tarjeta de crédito. Esto significa que en las transacciones donde se proporcionó el CVV, la transacción no tiene buena reputación: lo que significa que el titular de la tarjeta no puede disputar que autorizó la transacción .

Aquí está el problema: los comerciantes quieren el número CVV porque le niega al consumidor el derecho a realizar una devolución. Pero en las transacciones con tarjeta no presente, el comerciante en realidad no tiene la tarjeta o el número CVV disponible, por lo que lo solicitan.

Los comerciantes no tienen derecho a solicitar un número CVV ya que su propósito es verificar la posesión de la tarjeta y no autorizar transacciones. Los consumidores tienen derecho a negarse a darlo.

  

Respuesta: El único lugar donde se encuentra el número CVV debe almacenarse en la propia tarjeta.

    
respondido por el user34445 17.02.2017 - 15:42
fuente

Lea otras preguntas en las etiquetas