¿Está almacenando los detalles de la tarjeta sin el permiso del titular de la tarjeta contra PCI DSS?

8

Compré algo en una tienda en línea, y al ingresar los detalles de la tarjeta, envió los detalles a su servidor a través de una conexión HTTPS, que asumo que luego reenviaron a su proveedor, no sé quién es. una pista.

Desde entonces he leído en su sitio y dicen que almacenarán los detalles de la tarjeta, pero:

  1. No puedo ver estos detalles ni nada que indique los detalles de la tarjeta almacenada en la sección de mi cuenta.
  2. No tenía la opción de guardar los detalles de la tarjeta para usarlos más adelante al ingresarlos.
  3. No tengo idea si están almacenando los detalles como un token con su proveedor o en un archivo de texto sin formato en el escritorio de Somebodys. En lo que valía, hice la compra y recibí la mercancía hace 3 semanas, pero el dinero acaba de salir de mi cuenta ahora, lo que parece un poco inusual.

Entonces, ¿el almacenamiento de los detalles de la tarjeta sin el permiso de los titulares es una violación de PCI DSS? He mirado los documentos PCI-DSS y, aunque son bastante detallados, no puedo encontrar ninguna mención de esto.

    
pregunta R4D4 22.03.2012 - 12:04
fuente

3 respuestas

7

Por lo que yo sé, PCI-DSS no cubre el permiso del usuario para almacenar datos (según el lugar en el que viva, como lo podría hacer la Ley de Protección de Datos de Uks). Dicho esto, si una empresa está almacenando datos de seguimiento completos (incluyendo CVV2) no cumplirían con el DSS. Es posible que solo almacenen los detalles de la tarjeta con el fin de rastrear cosas como las devoluciones de cargo, aunque, por lo que he visto, muchos comerciantes se están alejando del almacenamiento de los detalles de la tarjeta si es posible debido a los dolores de cabeza resultantes.

    
respondido por el Rоry McCune 22.03.2012 - 15:41
fuente
5

El requisito 3.1 de la PCI requiere que los titulares de las tarjetas mantengan los datos de almacenamiento de la tarjeta al mínimo ...

Si no es un servicio que requiere cargos recurrentes o similares, creo que caerá en más datos de los que deberían retener (para el seguimiento de la devolución de cargos pueden guardar otros datos, hashes, parciales, etc.).

    
respondido por el StrangeWill 22.03.2012 - 17:09
fuente
3

PCI-DSS cubre CÓMO se pueden almacenar los datos. El acuerdo del comerciante y, lo que es más importante, las reglas de aceptación del titular de la tarjeta determinan cuándo se pueden almacenar los datos de la tarjeta. Por ejemplo, consulte las Pautas de aceptación de tarjetas para comerciantes de Visa. enlace

    
respondido por el B2Bpayments Expert 08.05.2013 - 18:35
fuente

Lea otras preguntas en las etiquetas