Cumplimiento de PCI y Transmisión de datos de tarjeta

Question

Cumplimiento de PCI y Transmisión de datos de tarjeta

#1 de Jonah Benton (1 votos)

0

He leído que PCI obliga a los comerciantes a almacenar los primeros seis y los últimos cuatro dígitos son el número máximo de dígitos que pueden ser exhibido / almacenado. Estoy tratando de encontrar lo que se requiere con respecto a la transmisión de la tarjeta. Por ejemplo, ¿puede el cliente de un sitio web enviar (si lo desea) el número de PAN y el número de CC (no oculto) pero el desarrollador lo puede almacenar como lo requiere PCI? Entonces, ¿el PCI solo se trata del almacenamiento desde la perspectiva del comerciante, pero la forma en que el cliente lo envía al comerciante es irrelevante?

Gracias

credit-card pci-dss payment

pregunta fargo01 01.08.2018 - 15:09

fuente

1 respuesta

Lea otras preguntas en las etiquetas credit-card pci-dss payment

idea para detectar violaciones de datos permitiendo a los usuarios crear alias de correo electrónico de un solo uso con un solo clic Amazon AWS KMS - Concepto de firma en general y con JWT

score 1 · Answer 1

El problema de "enviar" la tarjeta al comerciante es un poco complicado. Se le puede permitir al titular de la tarjeta "enviar" la tarjeta de manera que el comerciante no pueda aceptar.

El cumplimiento de los requisitos de PCI es parte de la relación contractual que un comerciante establece con un banco, llamado adquirente, para poder aceptar pagos con tarjeta de crédito.

Los requisitos de PCI incluyen el lenguaje sobre los PAN "en reposo" (almacenamiento) y "en tránsito" (transmisión). Las formas en que un comerciante permite a los clientes proporcionar su número de tarjeta de crédito están sujetos a los requisitos de PCI tanto en reposo como en tránsito.

IOW, PCI determina cómo un comerciante puede aceptar tarjetas de pago legítimamente.

Para el titular de la tarjeta: tienen un acuerdo con su banco, llamado "emisor", el banco que les ofrece una línea de crédito y les envía una tarjeta por correo. En lo más profundo de los términos de servicio contractuales que el titular de la tarjeta acepta con el emisor, se encuentra el texto sobre cómo mantener en secreto el número de la tarjeta.

Las reglas del lado del comerciante son mucho más estrictas que las del lado del titular de la tarjeta, por razones que tienen que ver con el riesgo, la escala y el modelo de negocio.

En términos prácticos, por ejemplo, un comerciante no puede anunciar que acepta números de tarjeta por correo electrónico, ya que el correo electrónico es un protocolo que no cumple con PCI. Si un comerciante recibe un número de tarjeta en un correo electrónico, tiene que eliminar ese correo electrónico de sus sistemas de correo electrónico. Los auditores de PCI preguntan sobre flujos de trabajo como este en sus revisiones.

La última vez que miré, los acuerdos con el titular de la tarjeta no prohibían expresamente el envío de un número de tarjeta por correo electrónico, aunque eso puede haber cambiado, pero en general las reglas son mucho menos explícitas, y es bastante raro que el emisor de la tarjeta revoque una tarjeta de un tarjetahabiente por razones que no impliquen gastos fraudulentos o falta de pago. El uso indebido ocasional de un número de tarjeta por parte del titular de la tarjeta, lo que lleva a una tarjeta de reemplazo es un flujo de trabajo estándar para los emisores.