¿Tarjeta de crédito no solicitada en el correo electrónico?

Como QSA, aquí es cómo esperaría que manejaras esta situación:

1. Tiene una política, que se aplica estrictamente, indicando que no hay datos de la tarjeta debe ser enviado o recibido por correo electrónico.
2. Disponer de un procedimiento para manejar los incidentes no solicitados. correos electrónicos que contienen datos de la tarjeta. Esto debería incluir un proceso para asegurar eliminar el correo electrónico ofensivo y notificar al cliente cómo Transmitir adecuadamente la información de pago.
3. Implementar un método para validar que la política y los procedimientos son siendo seguido. Esto puede incluir:
   • Exploración periódica de su servidor de correo electrónico en busca de datos de tarjetas de crédito.
   • Implemente una solución DLP que supervisará su servidor de correo electrónico para detectar datos ofensivos y la redactará o no permitirá que se envíe o almacene.

punto # 3 anterior es importante al considerar su evaluación de PCI. Su QSA validará el alcance de su CDE al inicio de la evaluación. Parte del ejercicio de alcance puede incluir análisis de descubrimiento de datos de Cardhold, y un servidor de correo electrónico es un delincuente común cuando se trata de almacenar datos de tarjetas. Si el QSA descubre los datos de la tarjeta en el servidor, se considerará parte del CDE. Esto podría causar algunos problemas si no esperaba que se incluyera en la evaluación, por lo que es posible que el sistema no esté a la altura de los estándares PCI. Esto también hace que sea difícil demostrar que está siguiendo su propia política. Una política por sí sola no es suficiente para protegerlo de los requisitos de PCI. También debe aplicarse.

Por lo que entiendo de la aplicabilidad de PCI-DSS 3 (PDF) , si lo rechaza activamente ( es decir, no acepte los datos de la tarjeta de crédito por correo electrónico), su sistema de correo electrónico no se considera parte de CDE o Cardholder Data Environment . Parece que tiene que ser muy estricto con esto: 100% de cumplimiento, o su sistema de correo electrónico ahora es parte de su CDE y tiene que mantener el cumplimiento de PCI-DSS.

Le recomendaría que instituya una política para descartar correos electrónicos que contengan datos de tarjetas de crédito y cree un correo electrónico nuevo para el cliente como lo está haciendo usted. La diferencia aquí es que absolutamente no puede aceptar datos de tarjetas de crédito a través de correo electrónico y utilizar esos datos para la verificación o el procesamiento de pagos . Tenga políticas para los agentes de servicio al cliente que establezcan que no pueden solicitar datos de la tarjeta por correo electrónico o solicitar que se devuelvan por correo electrónico, incluso como un archivo adjunto. Si es posible, pondría un filtro en su correo electrónico entrante que busca patrones de números CC (comienza con 4, 5 o 6; 16 dígitos, se pueden dividir en 3 o 4 grupos ...), y elimina el CC info.

Tenga en cuenta que no soy un profesional de PCI, pero he estado sujeto a él durante varios años. Siempre es mejor jugar de forma segura considerando la responsabilidad, aunque si no permite el uso de información de tarjetas de crédito enviadas por correo electrónico, su responsabilidad disminuiría significativamente.