Senario: aplicación de banca en línea habilitada para SSL. Pregunta: ¿Se deben devolver los números de tarjeta a un usuario sin máscara, cuando se produce un error al iniciar sesión?

  

PCI-DSS Sección 3.3 Obtenga y examine las políticas escritas y examine   pantallas de PAN (por ejemplo, en pantalla, en recibos en papel) para verificar   que los números de cuenta primarios (PAN) están enmascarados al mostrar   datos del titular de la tarjeta, excepto aquellos con una necesidad comercial legítima de   ver PAN completo

Si se puede argumentar que el usuario tiene una necesidad comercial de ver el PAN completo, sería perfectamente correcto mostrarlo después de un inicio de sesión fallido si se utilizara como credencial de inicio de sesión, aunque podría haber un fuerte argumento de que el número de tarjeta de crédito no debe ser la credencial de inicio de sesión. SSL se asegurará de que el punto final sea el mismo que hizo la solicitud, por lo que si pudieran ver el CC # que se está devolviendo, habrían podido verlo en el cable en primer lugar. Tenga en cuenta que esto supone que el usuario ingresó el CC # y que desea mostrarle lo que ingresó cuando lo ingresó incorrectamente.

Mi comprensión de la sección 3.3 es simplemente que un empleado no debería poder ver el PAN a menos que tenga una necesidad. El usuario cuyo PAN es tiene una razón comercial legítima para verlo como está allí. La preocupación es asegurarse de que el número no se muestre a quienes no deberían tener acceso a él.

Dicho esto, parece que se podrían hacer algunas cosas mejor sobre el proceso que está describiendo, incluso si la sección 3.3 de SSL y PCI-DSS no son directamente un problema con la situación descrita. No quieres usar un CC # como nombre de usuario. Esta es la razón por la que la mayoría de los registros de cuentas se realizan cuando PAN se ingresa una vez y, a partir de ese momento, se usa el nombre de usuario. Esto debería hacer que nunca tenga que volver a mostrar el CC # utilizado. Además, si el campo estaba enmascarado al entrar, debería permanecer enmascarado.

Cuando utiliza una interfaz que solicita un inicio de sesión y una contraseña, la contraseña se enmascara. Si el inicio de sesión falla, la contraseña que ingresó no se muestra. El mismo razonamiento se aplica aquí: no, no mostrar el número que estaba enmascarado anteriormente. Fue enmascarado por una razón que todavía se aplica . La razón a menudo se llama " hombro surfistas ". Incluso si el número fue escrito incorrectamente, es probable que aún sea "casi correcto" y, como tal, debería permanecer oculto.

(Una excepción son los campos usuales de ingreso de contraseña para las contraseñas de WiFi; normalmente están enmascarados pero tienen un botón para permitir el desenmascaramiento en la demanda del usuario. No sé si PCI estaría de acuerdo con eso, pero sería prudente abstenerse de ello.)