Almacenamiento de la información de la tarjeta de crédito para su posterior procesamiento manual

6

Estoy reconstruyendo un sitio de comercio electrónico de clientes utilizando Wordpress y WooCommerce como marco. Su sitio de comercio electrónico actual toma la información de la tarjeta de crédito y la almacena para su posterior procesamiento manual. Para "asegurar" los datos que envía, reduzca a la mitad el número de la tarjeta de crédito por correo electrónico y almacene el resto. El cliente desea poder cargar manualmente las tarjetas de crédito a través de su software de servicio financiero debido a las tarifas negociadas. Esto elimina la opción de usar una pasarela de pago como banda.

Su proceso actual parece ser una práctica válida según una publicación de webengr en este hilo: enlace .

  

"Muchos de ustedes probablemente saben cómo lo hace zencart / oscommerce.   El procesador cc básico sin conexión para zencard guarda parte de la tarjeta de crédito   luego envía por correo electrónico la otra parte.    enlace Ha habido   discusiones sobre esto, esto es lo suficientemente bueno para cumplir con el 'cumplimiento de PCI'   Supuestamente, su negocio es compatible con PCI siempre y cuando no lo sea.   almacenando datos CC de la Pista 1, que consta del número CC completo, nombre,   fecha de vencimiento. "

¿Es esta realmente una práctica legítima?

¿Cómo puedo almacenar de forma segura las tarjetas de crédito para su posterior procesamiento manual y cumplir con los estándares PCI?

  • ¿Existe un servicio que pueda almacenar los detalles de la tarjeta de crédito y la transacción mediante tokenización? ¿Luego inicie sesión para recuperar los detalles de la tarjeta por el token y cargarlos manualmente a través de su proveedor de servicios financieros?
  • ¿Qué otras prácticas de seguridad sugieres? Respuestas más profundas luego utilizando SSL.
pregunta Originals 29.10.2015 - 23:36
fuente

3 respuestas

3

Las secciones relevantes de PCI DSS v3.1 son las siguientes:

  

3.2 No almacene datos confidenciales de autenticación después de la autorización (incluso si están cifrados).

Sin embargo, esto está permitido si

  
  • Hay una justificación comercial y
  •   
  • Los datos se almacenan de forma segura.
  •   

También

  

3.2.1 No almacene el contenido completo de ninguna pista (desde la banda magnética ubicada en la parte posterior de una tarjeta, datos equivalentes contenidos en una   chip, o en otro lugar) después de la autorización. Este dato es alternativamente   llamada pista completa, pista, pista 1, pista 2 y datos de banda magnética.

Sin embargo, almacenar el CSV después de la autenticación es un completo no-no:

  

3.2.2 No almacene el código o valor de verificación de la tarjeta (número de tres o cuatro dígitos impreso en el anverso o reverso de una tarjeta de pago utilizada)   para verificar transacciones con tarjeta no presente) después de la autorización.

Con respecto a la visualización del número de tarjeta en sí, está bien mostrar los primeros seis y los últimos cuatro dígitos:

  

3.3 Máscara PAN cuando se muestra (los primeros seis y los últimos cuatro dígitos son el número máximo de dígitos que se mostrarán), de modo que solo   el personal con una necesidad comercial legítima puede ver el PAN completo.

El resto del requisito tres (3.4.1 a 3.7) describe cómo puede almacenar los datos de la tarjeta. Lo largo y corto de todo esto es que usted debe almacenarlo encriptado utilizando los protocolos de encriptación aceptados en la industria. El cifrado completo del disco es aceptable. Luego todo se reduce a la gestión de claves. Esta es la parte difícil. La clave para PCI DSS es documentar cómo funcionará esto y cómo cumple estos requisitos.

    
respondido por el SilverlightFox 02.11.2015 - 13:24
fuente
2

Existen métodos compatibles con PCI para almacenar los datos de la tarjeta de crédito para su posterior procesamiento manual fuera de línea: los datos de la tarjeta se 'reducen a la mitad' (quizás); cifrado fuerte con propiamente dicha gestión de claves (sin duda).

¿Es esta realmente una práctica legítima? Si el comerciante confirma que lo es y puede verificar el cumplimiento de un PCI QSA si es necesario, entonces es. Si está manejando los datos del titular de la tarjeta (CHD) en su red, usted es completamente responsable de asegurar que la CHD mantenga el cumplimiento de PCI. Si bien estos métodos pueden ser compatibles, siempre existe el esfuerzo y costo de la administración de cumplimiento continuo: análisis trimestrales, auditorías in situ (si se procesan en ciertos volúmenes), informes, pruebas de penetración periódicas, etc.

Pero si el objetivo de usted y sus clientes es ahorrar dinero en las tarifas de transacción debido a sus tasas preferidas y reducen el alcance de PCI, la responsabilidad de manejo de CHD asociada y los costos relacionados al no manejar ningún CHD, entonces debe considerar los proveedores de servicios de almacenamiento y tokenización compatibles con PCI.

Proveedores de servicios de almacenamiento seguro y de tokenización como Auric o SecureNet se especializa en el almacenamiento seguro de CHD para implementaciones como su escenario. Estos proveedores compatibles con PCI ofrecen mantener datos confidenciales de CHD almacenados en "bóvedas" seguras, manteniéndolas fuera de su entorno por completo, al tiempo que brindan acceso seguro para su procesamiento posterior. Proporcionan métodos de integración, como las API de servicios web que utilizan publicaciones HTTPS simples, o Iframes incrustados en una página de pago alojada, para vincular su página de pago a su servicio.

Los precios varían ampliamente, pero por ejemplo, el servicio de la bóveda de Auric cobra $ 0.10 por token / mes. Almacenar 1000 tokens de tarjeta de crédito mensualmente costaría $ 100.00

Diseñado correctamente, este enfoque puede reducir significativamente el alcance y los costos de su PCI. El uso de proveedores de servicios validados por PCI DSS para el alojamiento y la tokenización de CHD puede mover gran parte de su carga de cumplimiento de PCI a ya validado. fiestas.

    
respondido por el Rodrigo M 09.11.2015 - 01:43
fuente
0

Según el cumplimiento directo DSS de la PCI, el almacenamiento directo de datos T1 está inhibido. Por lo tanto, las soluciones de enmascaramiento de datos se pueden utilizar para enmascarar los datos de la tarjeta y almacenar temporalmente los datos T1. También los sistemas que usarán estos datos enmascarados deben considerarse bajo el alcance T2 de Cumplimiento de PCI. En lugar de fragmentar el número de tarjeta, la tokenización es la mejor solución. Como minimiza la gestión de riesgos y también se puede utilizar una PKI adecuada, preferiblemente con una longitud de clave de 2048 bits para almacenar de forma segura este Token.

    
respondido por el Shashank Bajpai 30.10.2015 - 06:44
fuente

Lea otras preguntas en las etiquetas