Almacenar CVC / CVV / CVV2 hasta que se procese el pago

Navega tus respuestas
8

Necesito almacenar la información de pago de una transacción.

Tenemos un script que lee qué transacciones aún no se han enviado a nuestro ERP (el software de gestión empresarial), para luego enviarlo. Este script se ejecuta cada varios minutos.

Según PCI DSS, puedo almacenar información como el número de la tarjeta de crédito, el nombre del titular de la tarjeta y la fecha de vencimiento, pero no puedo almacenar el CVV2. ¿Cómo debo almacenar esta información hasta que la secuencia de comandos la envíe?

    
pregunta leo0 02.07.2014 - 21:59
fuente

5 respuestas

15

Técnicamente, según PCI SSC, puede conservar CVV y otros datos confidenciales de autenticación hasta que se haya producido la autorización. En otras palabras, la restricción en el almacenamiento de datos confidenciales de autenticación se aplica al almacenamiento posterior a la autenticación / procesamiento. Aquí hay un documento del PCI SSC sobre los requisitos de almacenamiento de datos . Consulte la tabla "Pautas técnicas para el almacenamiento de datos PCI". La nota de pie de página 2 a los estados de la tabla:

  

Los datos confidenciales de autenticación no deben almacenarse después de la autorización (incluso si están cifrados).

Mi consejo como QSA, sería que el tiempo de almacenamiento de pre-autenticación debe ser razonable desde un punto de vista empresarial. También me gustaría que fuera lo más corto posible técnicamente. Si su flujo de datos es similar a otros en su industria y están procesando pagos sin almacenar datos confidenciales durante más de unos pocos segundos como máximo, entonces esperaría lo mismo de usted.

    
respondido por el Timee 03.07.2014 - 18:11
fuente
2

Debes hablar con un QSA.

Usted no puede almacenar el CVV. Sin embargo, el almacenamiento incidental puede ocurrir como parte de un flujo transaccional aprobado, y eso es aceptable si el QSA lo encuentra así. De lo contrario, sería imposible utilizar CVV en transacciones por lotes.

    
respondido por el gowenfawr 02.07.2014 - 23:14
fuente
1

No vas a poder hacer eso, tendrás que encontrar otra forma.

Si la memoria sirve para el marco PCI DSS, también indica que no puede almacenar un número de tarjeta de crédito (u otro PAN) en texto simple en su totalidad. Deberá ofuscar los números intermedios tal como se muestran en los recibos, por lo que debe asegurarse de que su script también le permita hacerlo.

    
respondido por el DKNUCKLES 02.07.2014 - 22:19
fuente
1

Como gowenfawr puede que no almacene el número de CVV. El propósito del número CVV es probar que el titular de la tarjeta posee la tarjeta, no autorizar transacciones. Si el comerciante puede obtener el número CVV, le niega al consumidor la capacidad de recargar exitosamente una transacción no autorizada ya que la compañía de la tarjeta de crédito le negará la devolución de cargo.

  

La respuesta más popular a esta pregunta no es la correcta. El único lugar donde se debe almacenar el número CVV es en la propia tarjeta de crédito.

    
respondido por el user34445 17.02.2017 - 15:51
fuente
0

Ciertamente hay (naturalmente) muchos detalles que faltan aquí. Estoy de acuerdo con DKNUCKLES y creo que tiene un problema de proceso. ¿Puede desinfectar la justificación de la demora mediante la autorización de los datos del titular de la tarjeta?

Definitivamente no puede almacenar datos de seguimiento completos o el número CVV2 en absoluto.

    
respondido por el M15K 02.07.2014 - 22:25
fuente

Lea otras preguntas en las etiquetas

¿Qué tan malo es instalar el certificado raíz de otra compañía en su servidor? ¿Por qué la regla de propiedad ★ del Modelo Bell-LaPadula permite que la información se almacene en objetos con etiquetas de MAYOR sensibilidad?