Pregunta sobre cómo guardar la información de la tarjeta de crédito en el reinicio de PW [PCI]

Question

Pregunta sobre cómo guardar la información de la tarjeta de crédito en el reinicio de PW [PCI]

#1 de gowenfawr (1 votos)

-1

Trabajo para una organización minorista con una gran presencia de comercio electrónico. Permitimos que nuestros clientes almacenen información de CC para un fácil check-out, como muchos minoristas.

Actualmente, eliminamos toda la información de CC almacenada en los restablecimientos de contraseña de una persona. Hay una solicitud de uno de nuestros socios comerciales para cambiar esto y retener la información de CC a través del restablecimiento de PW. Para aclarar, cuando se restablece el PW, se envía un correo electrónico a la dirección de correo electrónico principal del usuario con un enlace para restablecer la contraseña.

La justificación para retenerlo fue que es un inconveniente hoy, y estamos viendo ventas perdidas debido a que los consumidores no vuelven a ingresar su información de CC; en particular, nuestras tarjetas de marca compartida y de tienda.

Si hubiera un usuario malintencionado que tuviera acceso a las credenciales de nuestro sitio web, ese usuario simplemente iniciaría sesión como objetivo en lugar de restablecer la contraseña. Si el usuario tiene acceso a la dirección de correo electrónico en el archivo para completar la funcionalidad de restablecimiento de la contraseña, asumimos que es realmente esa persona y no alguien que trata maliciosamente de restablecer la contraseña, por lo tanto, la solicitud de conservar la información de CC.

Me pregunto si esto tiene algún tipo de implicación de PCI que podría llevarnos al agua caliente.

Entiendo el razonamiento, pero quiero asegurarme de que estamos haciendo lo correcto.

credit-card pci-dss

pregunta Dave 10.08.2018 - 14:54

fuente

1 respuesta

Lea otras preguntas en las etiquetas credit-card pci-dss

¿Cómo se ven las inundaciones de SYS / DDoS TCP SYN y las inundaciones de Capa 7 / HTTP en un registro de firewall? Extraer contraseñas de máquinas recicladas usando Specter y Meltdown

score 1 · Accepted Answer

Me pregunto si esto tiene algún tipo de implicaciones de PCI que podrían ¿Nos aterriza en agua caliente?

Ninguno con el que no estés tratando.

PCI se preocupa profundamente por cómo almacena PAN (Número de cuenta principal) e información relacionada. Si está almacenando tarjetas de crédito, deben estar encriptadas de manera segura, y las máquinas en las que están almacenadas requieren ciertas medidas de seguridad, y la red con la que se transmiten requiere ciertas medidas de seguridad ... cuando almacena PAN, está Registrarse para hacer mucho trabajo de seguridad y auditoría.

Eso es cierto ya sea que los almacenes por un día, un año o cualquier período. Si borra los datos de PAN de un usuario cada 3 meses cuando cambian su contraseña, sus obligaciones no son diferentes a las que usted hace si no la borra.

(La tokenización, probablemente ofrecida por su Procesador, puede reducir el alcance que tiene que proteger, porque no está almacenando el PAN personalmente. Sin embargo, no hay ninguna diferencia para su preocupación; un token no expurgado permanece utilizable después del restablecimiento de la contraseña, como lo haría un PAN no expurgado)

Personalmente, no sé si he usado un comerciante que requiere un reingreso completo de PAN después de un cambio, aunque he vuelto a ingresar al CVV que he visto. Es posible que pueda encontrar alternativas (volver a ingresar al CVV; responder a una pregunta de seguridad; ...) que son formas menos intrusivas de ser más cuidadoso después de cambiar la contraseña.

(Para que quede claro, el punto de solicitar el CVV es usar eso durante la autenticación de la tarjeta de crédito como una validación adicional, no compararlo con un valor previamente almacenado: el DSS no le permite almacenar el CVV entre transacciones) .)