Almacenamiento de tarjetas de crédito

Para las transacciones actuales del titular de la tarjeta, hay muy poco en términos de seguridad física dentro de las PCI DSS. Los titulares de tarjetas son responsables de sus tarjetas y no deben entregarlas a otros para su almacenamiento por parte de terceros. Lo que debería suceder en este escenario para limitar el acceso de todos los camareros, etc. a la tarjeta, es que se debe tomar una autorización previa de $ 0.01 de la tarjeta y la tarjeta debe devolverse al titular de la tarjeta con su número de ficha. Luego pueden ordenar desde esa pestaña para la noche y pagar al final de la noche. Si se van con su tarjeta, la barra puede cargar la tarjeta según la autorización previa.

La otra forma de hacerlo puede ser que el personal de un bar en particular sea responsable de las tarjetas de las personas para las que tienen fichas, para saber quién tiene qué tarjeta y cuándo. Esto no es realmente práctico debido a los turnos y las pausas, por lo que sería mejor el proceso anterior.

No estoy seguro de cómo almacenar la tarjeta física con respecto a pci dss, lo que me pregunto es ¿por qué almacenaron la tarjeta en primer lugar? Lo más fácil sería deslizar la tarjeta y almacenar los detalles en un sistema informático. (asigne un CC a una pestaña) así es como la mayoría de los hoteles lo hacen en estos días.

Si bien el PCI DSS no llama específicamente aferrarse a la tarjeta de un cliente, está cubierto por 9.6, "Asegurar físicamente todos los medios". Para citar los procedimientos de prueba,

  

9.6 Verifique que los procedimientos para proteger los datos del titular de la tarjeta incluyen controles para asegurar físicamente todos los medios (incluidos, entre otros, computadoras, medios electrónicos extraíbles, recibos en papel, informes en papel y faxes).

La tarjeta en sí es un medio físico que contiene datos del titular de la tarjeta. Piense en ello como si alguien le enviara una copia de la tarjeta por fax, solo sin el papel :). "Asegurar físicamente" significaría algún tipo de control de acceso para garantizar que solo el personal autorizado (por ejemplo, el personal) y no el personal no autorizado (por ejemplo, las moscas de la barba que llegan a la barra) puedan acceder a él. El interior de un cajón de registro podría funcionar bien, porque eso es algo que tiene protección de diligencia debida, ya que de todos modos protege su efectivo y todo su personal tiene acceso necesario sin interrupciones adicionales.

La tarjeta puede ser realmente diferente, ya que contiene el CVV, que no puede ser "almacenado" según PCI DSS 3.2.2. Pero dado que las tarjetas se entregan físicamente al personal constantemente (por ejemplo, su camarero lo toma para deslizarlo), obviamente eso se maneja de manera diferente con las transacciones físicas. Me temo que no tengo una idea de los matices que hay.

Lo que me lleva a mi resumen ... aquí encontrará el consejo de PCI DSS

1. puede estar sesgado hacia las transacciones de Tarjeta no presente ( CNP ), y
2. El consejo de PCI DSS es solo una opinión a menos que provenga de un QSA .

Le alentaría a que piense en esto como una de esas ocasiones en que debe pagarle a un auditor certificado para que guíe su implementación. (Y creo que la sugerencia de @ AndyMac sobre autorizar cierta cantidad y luego liquidar la cantidad de la ficha completa más adelante es probablemente la forma correcta de proceder, aunque no tengo idea de cómo se firma la firma en esa situación si el cliente se retira sin firmar, mi experiencia está sesgada hacia las transacciones CNP.)