Mostrar el número completo de la tarjeta de crédito y el cumplimiento de PCI

0

He estado leyendo las reglas de cumplimiento de PCI para ver si alguna vez cumple con PCI para mostrar el número completo de la tarjeta de crédito en una página web a un usuario. He encontrado información sobre recibos en papel y reglas que dictan qué dígitos están visibles en el número de la tarjeta. Pero también existe este anuncio del documento de Normas y Cumplimientos de Seguridad de PCI:

  

No almacene datos del titular de la tarjeta a menos que   hay una necesidad comercial legítima;   truncar o enmascarar los datos del titular de la tarjeta si   No se necesita PAN completo y no   enviar PAN en correos electrónicos sin cifrar,   Mensajes instantáneos, chats, etc.

En mi caso, tengo una forma compatible con PCI para aceptar información de la tarjeta y una forma compatible con PCI para almacenar esta información (a través de un sitio externo). Me pregunto si es compatible con PCI mostrar esta información al comerciante que procesará esta tarjeta con su propio sistema de pago. Verían esta información después de iniciar sesión en un sitio seguro y los datos se recuperarán de otro sitio a través de una solicitud GET de HTTPS.

    
pregunta gdawgrancid 27.08.2018 - 22:18
fuente

1 respuesta

3

El PCI DSS permite la visualización de los datos del titular de la tarjeta para fines comerciales válidos, pero esto conlleva asumir toda la responsabilidad y sanciones si alguna de las tarjetas de sus clientes se utiliza de forma fraudulenta. Dicha visualización lo pone a usted directamente en peligro, y desde un punto de vista de evitación de riesgos, desaconsejaría enérgicamente su implementación de esta función.

Si elige mostrar los datos del titular de la tarjeta, hay muchas reglas adicionales sobre autenticación, registro, auditoría, etc., que deberá seguir. Además, hay datos que no debe almacenar y, por lo tanto, no se pueden mostrar, como CVV. Cualquier persona que use sus datos pagará la tasa de intercambio máxima para las transacciones del Titular de Tarjeta No Presente (CNP).

Al menos verifique con su QSA para ver qué requerirán de usted antes de comenzar por este camino. El costo de su implementación, más el tremendo riesgo que asumirá, le dará a su alta gerencia mucho en qué pensar antes de aprobar un sistema como este.

    
respondido por el John Deters 28.08.2018 - 06:42
fuente

Lea otras preguntas en las etiquetas