Segmentación de datos del titular de la tarjeta para el cumplimiento de PCI (3.2)

Navega tus respuestas
5

Actualmente estamos recopilando datos del titular de la tarjeta de forma segmentada. Nuestro sistema lo utilizan los agentes del centro de llamadas, a los que me referiré como canal B

A través del canal A (operador de telefonía móvil), recopilamos los primeros 8 dígitos de la tarjeta de crédito seguidos por el CVV. Ahora no controlamos el registro en este canal y es posible que lo hagan en texto simple.

En el canal B, el agente recopila el resto del PAN y la fecha de caducidad.

Luego lo reconstruimos para cambiar.

Mi pregunta es la siguiente: el punto 3.2 de la conformidad con PCI establece que no está permitido almacenar cvv, pero ¿esto se aplica con PAN segmentado? Mi argumento es que no puedes hacer nada con CVV sin el paneo completo.

    
pregunta Devonne Burger 22.02.2016 - 10:11
fuente

3 respuestas

12

Aquí están los cosas que debes y no debes hacer para PCI-DSS :

Independientementedelasegmentación,noestápermitidoalmacenarlosdatosCVV.Laefectividaddeestecódigoselimitaalacapacidaddemantenerlofueradelalcancedelosdelincuentes,razónporlacuallosestándaresPCIprohíbensualmacenamiento.Paraloscomerciantesquecobranalosclientesdeformarecurrente,elcódigoCVVsepuedeutilizarconlatransaccióninicial,peronosepuedealmacenarparafuturastransacciones.

Ahoratieneunargumento,perotengaencuentaquehayunincumplimientoensuempresayquelosnúmerosCVVseobtienenyseutilizanjuntoconlosnúmerosdetarjetasrecopiladasenunincumplimientodelaempresaB,luegoadivinequiénseráresponsableyaquenoseadhirieronAlestándarPCI-DSS.

LasreglasparaPCI-DSSnosoloestánahíparabrindarleorientaciónsobrecómoalmacenarinformación,sinoquetambiénsirvencomounaformadedescargarelriesgodelosadquirentesdelatarjetaaloscomerciantes.Talvezpiensequenoesjusto,peroenelcasodePCI-DSS:"Las reglas son las reglas". La única forma en que podría evitar este riesgo es haciendo que un QSA firme su implementación y explícitamente tenga su arquitectura donde almacena el CVV como parte del informe de auditoría (para ser justos, dudo mucho que un QSA se apruebe) ese).

    
respondido por el Lucas Kauffman 22.02.2016 - 11:01
fuente
8

Entiendo que es un absoluto: no tiene permitido almacenar el número CVV, ya sea que haya guardado el resto del número de la tarjeta, ninguno del número de la tarjeta, parte del número de la tarjeta o una tarjeta cifrada. número.

PCI no tiende a funcionar en lo que puedes hacer con las cosas, simplemente evita las cosas que tienen un alto potencial para causar problemas.

    
respondido por el Matthew 22.02.2016 - 10:21
fuente
0

1. Si tiene los primeros 8 dígitos, se considera PAN 2.El requisito es no almacenarlo después de la autorización, lo que significa que si almacena, autoriza y elimina su autorización

    
respondido por el BokerTov 22.02.2016 - 10:38
fuente

Lea otras preguntas en las etiquetas

¿Puede el salt para PBKDF2 ser un hash de la contraseña ingresada por el usuario? JavaScript eval () para analizar JSON después de la desinfección con expresiones regulares. ¿Es posible XSS?