¿Puedo mostrar los datos de la tarjeta de crédito a los clientes finales y ser compatible con PCI?

Navega tus respuestas
7

Trabajo con sistemas de gestión de reservas. En el sector de la hostelería existe el concepto de tarjeta de crédito como garantía. Por ello, al realizar cualquier tipo de reserva, se le solicita la información de su tarjeta de crédito para garantizar la reserva, sin embargo, solo se le puede cobrar, según las condiciones de la reserva, en caso de no presentarse u otros conceptos que solo puedan ocurrirá después del proceso de reserva.

Por ejemplo, puedo reservar en enero una gira de safari en octubre.

Básicamente, mientras la reserva sea válida, debe conservar los datos de la tarjeta de crédito.

Una vez que se produce el día de la reserva y no se presenta, por ejemplo. El personal del hotel (mis clientes) puede consultar los datos de la tarjeta de crédito del usuario y cargarlos.

Entonces, si almacenara los datos de la tarjeta de crédito de forma compatible con PCI, ¿puedo mostrar los datos de la tarjeta de crédito del usuario al personal autorizado del hotel (clientes) que deben usarlo para cobrarle al usuario?

Una vez más, aclaro, Mis clientes son personal de hoteles, operadores turísticos, agencias de viajes. Y los usuarios de los sistemas son las personas que reservan a través de él y les dan sus números de tarjeta de crédito.

    
pregunta jvlucic 10.06.2015 - 18:46
fuente

5 respuestas

4

En última instancia, creo que tendrá que resolver esto con su auditor de PCI, que no lo soy. Creo que va a tener dificultades para descubrir cómo hacer esto es una forma que es a) no demasiado onerosa para usted y para los usuarios finales de los datos de la tarjeta, yb) lo deja con un sistema que todavía es PCI cumple y que su auditor le dará un sello de aprobación, pero tampoco creo que PCI DSS v3 lo haga imposible.

Este es el problema más importante:

Una vez que los datos de la tarjeta ingresan a un sistema compatible con PCI, no se pueden extraer ni entregar por medios no conformes. Esto significa que no puede obtener los datos de la tarjeta y enviarlos por correo electrónico a un hotel, por ejemplo, o dárselos a alguien por teléfono. En todo momento debe estar encriptado, acceder a los PAN y los PAN no protegidos que solo se muestran a quienes tienen una necesidad comercial legítima.

Ahora, dado que el personal del hotel sí tiene una necesidad comercial legítima (deben poder cargar la tarjeta) si el acceso está restringido adecuadamente y la auditoría está registrada, es posible que pueda argumentar esto con éxito. Sin embargo, aún eleva el nivel de riesgo y cualquier auditor puede negarse a comprar esta línea de razonamiento.

Estaría mucho mejor si pudiera enviar los datos directamente al hotel o a los operadores turísticos que poseen sistemas de procesamiento compatibles con PCI y dejar que se preocupen por eso desde allí, en lugar de tener que trabajar con intermediarios humanos.

    
respondido por el Xander 30.09.2015 - 04:00
fuente
1

Nunca debe mostrar la tarjeta de crédito legible completa a nadie (incluidos los usuarios autorizados). Es una mala práctica de seguridad. Si lo hace, entonces deberá implementar controles de monitoreo y acceso aún más sólidos para asegurarse de que las credenciales de los usuarios autorizados no se vean comprometidas y que los piratas informáticos no estén robando datos de CC. Mejor aún, simplemente mostrando los últimos 4 dígitos del CC.

    
respondido por el avakharia 01.08.2015 - 01:27
fuente
0

Los datos de la tarjeta de crédito no son homogéneos. Hay cierta información que puede mostrar y otra que ni siquiera tiene permitido almacenar. Por ejemplo, no está permitido almacenar el código CVV2. Sin embargo, otros datos de la tarjeta de crédito son el nombre del titular de la tarjeta, el historial de transacciones, etc. Por lo tanto, debe verlos campo por campo.

En términos generales, la mejor práctica es la minimización: nunca haga más datos accesibles que lo que una persona en particular necesita para hacer el trabajo. Por ejemplo, los representantes de servicio al cliente en un centro de llamadas no deberían poder ver los números CC en absoluto.

    
respondido por el Kevin Keane 10.06.2015 - 19:32
fuente
0

Puede mostrar los datos completos de la tarjeta de crédito siempre que el usuario apruebe el MFA (autenticación multifactor). También se debe adjuntar a ese usuario el número de teléfono que se usa para validar el MFA. No debe haber enlaces disponibles para volver a mostrar los datos de la tarjeta nuevamente. Además, la página nunca debe cobrarse.

    
respondido por el Dani Han 10.06.2015 - 20:18
fuente
0

Su pasarela de pago probablemente tenga una forma de almacenar y tokenizar la información de la tarjeta de crédito en sus servidores de una manera compatible con PCI. Por ejemplo, si usa Authorize.Net , puede usar su Customer Information Manager almacena y tokeniza la información de la tarjeta de los usuarios finales de forma segura en los servidores de Authorize.Net.

Al utilizar dicho servicio, cuando el usuario final reserva una reserva, puede almacenar la información de su tarjeta de crédito en los servidores de la pasarela de pago. Cuando lo haga, recibirá un token de vuelta, que podrá almacenar en su base de datos. Siempre que necesite ejecutar una transacción a la tarjeta de crédito de ese cliente, puede hacerlo proporcionando el token.

De esta manera, no tiene que almacenar la información de la tarjeta de crédito de los usuarios finales en sus servidores, es compatible con PCI y puede realizar transacciones a las tarjetas del usuario final en cualquier momento (usando los tokens).

    
respondido por el mti2935 31.08.2015 - 02:43
fuente

Lea otras preguntas en las etiquetas

¿Hay alguna forma de poner una contraseña de autodestrucción en el cifrado de disco de Ubuntu? ¿Es posible XSS a través del atributo de estilo en los navegadores modernos?