Estaba revisando los documentos de integración de un procesador de pagos y, según entendí el código, los documentos y el desmontaje, están haciendo lo siguiente:
- Encriptando el CVV en el lado del servidor
- Devolviendo la mitad del texto cifrado al cliente
- Permitir que el cliente almacene el texto cifrado parcial
En los pagos adicionales, solicitan el texto cifrado parcial y permiten que el pago se transfiera sin solicitar nuevamente el CVV.
El documento PCI menciona lo siguiente para CVV:
3.2.d Para todas las demás entidades, si se reciben datos confidenciales de autenticación, revise los procedimientos y examine los procesos para eliminar de forma segura los datos y verificar que no se puedan recuperar.
¿Dividir el CVV y luego almacenarlo calificaría como "irrecuperable", ya que ambas partes no se pueden usar individualmente para recuperar el original? ¿O esto contaría como una violación?