¿Se rompería el cumplimiento de PCI en este escenario?

0

Lo primero y más importante : no planeo ir por el camino de intentar cumplir con el cumplimiento de PCI, simplemente no vale la pena el dolor de cabeza. Sin embargo, estoy interesado en cómo algunas empresas logran hacer esto.

Aquí está el escenario:

  • Una configuración estándar del mercado con proveedores que venden sus propios artículos y clientes que los compran.
  • Almacenar los detalles de la tarjeta del cliente al momento de pagar
  • Más tarde, se muestra la información completa de la tarjeta de un cliente a los proveedores que pueden luego procesa la transacción a través de sus propios métodos
  • Todo mientras se sigue el cumplimiento de PCI para esta configuración en particular

¿Se estaría rompiendo el cumplimiento de PCI de alguna manera y / o esto supondría un riesgo para los proveedores?

Además, ¿existen servicios de terceros que se encarguen de almacenar los datos de la tarjeta para luego obtenerlos a través de algo parecido a un enlace web? (la franja, etc. solo devuelve los últimos 4 dígitos)

    
pregunta user3170211 06.12.2017 - 17:26
fuente

2 respuestas

0

Terminé encontrando la respuesta a esto después de un poco más de investigación. Resulta que hay servicios disponibles que almacenan los detalles de la tarjeta a través de la tokenización en lo que generalmente se denomina bóveda.

Al hacerlo, reduce enormemente el alcance del cumplimiento de PCI en su lado de la aplicación.

Aquí hay algunos de esos servicios para cualquiera que busque: AuricVault: enlace Spreedly (no se puede deshacer el contacto pero aún se puede almacenar): enlace

    
respondido por el user3170211 07.12.2017 - 02:55
fuente
0

Sí, esto debería ser posible. Conozco a un proveedor de servicios de nivel uno haciendo básicamente lo que usted describe. Creo que es una mala idea para mí, ya que confía en que los clientes sean conscientes de la seguridad, y creo que abre su alcance de PCI a SAQ D (que probablemente no se dan cuenta). Dicho esto, es probable que la responsabilidad del cliente sea compatible con PCI y utilice proveedores de servicios de conformidad con PCI. Así que técnicamente debería estar bien, pero parece que estás jugando con fuego.

Prueba Spreedly, te permiten usar diferentes puertas de enlace y también tienen una bóveda, aunque no estoy seguro de obtener el PAN completo.

    
respondido por el Richard 07.12.2017 - 01:56
fuente

Lea otras preguntas en las etiquetas