¿Cómo almacenar la información de la tarjeta de crédito para transacciones repetidas y seguir siendo compatible con PCI?

Ivan, este es un tema absolutamente enorme . Y tienes un montón de preguntas aquí. Trataré de ayudar, pero esto probablemente se cerrará como demasiado amplio.

  

Estoy planeando hacer un caso a los altos mandos de que las responsabilidades de almacenar información de CC superan las conveniencias de no tener que volver a pedirle números al cliente, pero sé que me van a preguntar cómo los proveedores como Amazon y otros, se escapan con el almacenamiento de información para compras repetidas, y no tengo respuesta para esto.

Es perfectamente aceptable almacenar datos de tarjetas de crédito, pero hay una tonelada de reglas relacionadas con cómo lo hace: dónde, cómo, auditorías, etc. Hay muchos libros sobre este tema.

  

Entonces, ¿cómo los proveedores como Amazon y todos los demás que facturan mensualmente autorizan los cargos futuros sin almacenar información como CVV, que está expresamente prohibida por PCI DSS v3?

No necesita tener la información CVV en absoluto, solo ayuda con el fraude. Después de comprobarlo la primera vez (lo que se puede hacer sin escribirlo en el disco), puede asumir que la tarjeta no es fraudulenta. Ha hecho el trabajo que necesitaba hacer.

  

Leí en otra parte que los tokens se pueden crear y almacenar en lugar de información de banda, pero ¿no es tan valioso como la información de banda la posesión de un token que representa el contenido de la banda? Cualquier persona que posea el token podría hacer cargos fraudulentos, ¿a quién le importa si tiene esa información o la información real de CC / CVV?

La tokenización es buena si logra obtener la información del titular de la tarjeta fuera de su entorno y al cuidado de otra persona. El 'token' es un identificador único que le permite a su sistema actuar de manera tradicional. Le proporciona una lista de tokens a su proveedor y los traducen a números reales.

Esto es bueno porque es su responsabilidad almacenar / procesar / etc los números reales. Su responsabilidad desaparece en este sentido.

  

¿O es la conversión de token solo una forma de decir "no estamos almacenando el PAN / CVV real" y de transmitir los problemas de cumplimiento normativo a quien lo emitió?

Exactamente, excepto que es para quien lo procese , no quién genere los tokens. :)

Editar: muchas empresas no se interesan sin comprender el costo del incumplimiento.

Consulte enlace

Han pasado algunos años, pero cuando estaba haciendo comercio electrónico (incluido un trabajo para una compañía grande que anteriormente había estado almacenando miles de números de tarjetas de crédito en texto plano), mi método preferido era usar el servicio CIM de Authorize.net (otros proveedores tengo servicios similares, ese es el único con el que estoy más familiarizado; busque el que mejor se adapte a usted).

La forma en que funcionó fue que enviaste la información al procesador y devolvieron un token. El token es más seguro que los datos reales de la tarjeta porque solo es bueno cargar esa tarjeta a su cuenta con ese procesador. Alguien no podía tomar el token y usarlo en otra parte, y si lo consiguiera, todo lo que podrían hacer sería hacer cargos falsos contra usted, lo que pondría dinero en su cuenta y lo haría lucir mal, pero podría devuelva el dinero y cancele los tokens y no se hará ningún daño real, excepto por un inconveniente temporal, no habrá dinero perdido para los malos y no será necesario reemplazar la tarjeta.

Si los cargos recurrentes son consistentes y programados, algunos otros servicios de procesamiento de tarjetas le permiten configurar planes de suscripción, en los que inicialmente envía la información de la tarjeta junto con una descripción del plan de la frecuencia con la que se debe facturar cuánto. A partir de entonces, puede cancelar el plan, pero no tiene ni la información de la tarjeta ni un token, por lo que no puede cargarlos accidentalmente (como podría hacerlo con un token) o perder la información de su tarjeta en una infracción.

Nunca almacenar CVV de ninguna manera, eso está estrictamente prohibido. No lo necesita en absoluto, y tenerlo es una gran responsabilidad. No debería tener que almacenar nada, excepto un identificador de token o suscripción. Los últimos 4 dígitos y el tipo de tarjeta (visa / mastercard / etc) pueden ayudar al servicio al cliente, pero no es realmente necesario.

RSTaylor te está apuntando en la dirección correcta. Hay compañías que le proporcionarán el procesamiento de la tarjeta de crédito (por una tarifa, por supuesto). Puede crear un sitio para que el número del cliente nunca vaya a sus servidores, ni siquiera en la memoria RAM, por lo que no se puede comprometer allí.

Descargo de responsabilidad 1: tendrá que confiar en la integridad y el cumplimiento de esa empresa. No sé lo suficiente como para sugerir una empresa específica.

Exención de responsabilidad 2: también es un poco difícil obtener la función de tarjeta de crédito en su sitio sin problemas, pero se puede hacer.

Para tu pregunta

  

Entonces, ¿cómo hacen los vendedores como Amazon y todos los demás que facturan mensualmente?   autorizar cargos futuros sin almacenar cosas como información CVV, que   ¿Está expresamente prohibido por PCI DSS v3?

Quiero dar un escenario exacto al respecto.

1. Compro un libro de Amazon a través de mi Kindle con un proceso de pago de clic, pero el pago falla. Estoy seguro de que tengo suficiente crédito en mi tarjeta de crédito y siempre compro con la misma tarjeta en Amazon.
2. Cuando verifico los detalles del pedido, dice que hay un problema en el proceso de pago y me pide que use otra tarjeta.
3. Cuando verifico la tarjeta y la información bancaria, me doy cuenta de que mi banco tiene un cheque fraudulento porque robó algunos datos de la tarjeta y se requiere CVV para todos los pagos en línea.

Eso significa que se trata de una regla de fraude entre el comerciante y el banco.