¿El envío de información de la tarjeta de crédito por correo electrónico infringe el PCI DSS?

5

Al estar en los EE. UU., he notado que cada vez más compañías solicitan el envío de información confidencial de tarjetas de crédito (toda la información necesaria para realizar una transacción) a través de un correo electrónico simple. Creo que esto es una amenaza de seguridad o al menos una mala práctica.

Mi pregunta es si viola alguno de los estándares (como PCI DSS ) y cómo se debe manejar esas solicitudes.

    
pregunta Salvador Dali 19.12.2014 - 02:17
fuente

2 respuestas

10

Sí, requisito de PCI DSS 4.2:

  

Nunca envíe PAN sin proteger mediante tecnologías de mensajería de usuario final (por ejemplo, correo electrónico, mensajería instantánea, chat, etc.).

A menos que el correo electrónico esté cifrado de alguna manera, no se le permite usarlo para enviar datos del titular de la tarjeta.

    
respondido por el John Downey 19.12.2014 - 04:23
fuente
2

En práctica , viola el DSS. En teoría , posiblemente no, pero eso es pedantry en lugar de realidad.

Los

DSS Requirements 3.4 ([Cifrar] datos PAN almacenados) y 4.1 (Cifrar datos PAN a través de redes públicas) generalmente son violados por correo SMTP. Cada salto de correo es una puerta de enlace de almacenamiento y reenvío que escribe el correo en el disco aunque solo sea temporalmente; a menos que esté encriptado, eso es una violación 3.4. Cada conexión de correo cifrada con TLS está bien en 4.1 ... pero un comerciante no puede garantizar que su sistema o los sistemas entre usted y ellos usarán TLS, por lo que nunca pasaría una auditoría.

Si bien es teóricamente posible tener una ruta totalmente encriptada (cada servidor de correo con disco encriptado y todas las conexiones de red protegidas con TLS), es improbable e inaplicable para el correo electrónico basado en Internet. Entonces, no, el envío de datos de la tarjeta por correo electrónico infringe el PCI DSS, y usted no debe pedirle a un comerciante que le pida que lo haga, y no debe hacerlo si se lo piden.

(Todavía sucede . Y PCI no está estructurado para facilitar que los titulares de tarjetas se quejen de las prácticas de los comerciantes con los que tratan. Rehusarse y mudarse a otro comerciante es probablemente su mejor opción .)

    
respondido por el gowenfawr 19.12.2014 - 03:07
fuente

Lea otras preguntas en las etiquetas