Almacenar datos de tarjetas de crédito en nombre de los clientes: y transferir los datos más tarde

Navega tus respuestas
5

Estoy desarrollando una aplicación web para hoteles que envían ofertas a los hoteles de los huéspedes. Quiero almacenar los datos de la tarjeta de crédito del huésped de forma segura, a través de un servicio de terceros, ya que no quiero implementar una solución compatible con PCI.

No quiero (y no puedo) procesar los pagos, ya que cada hotel tiene su propia pasarela de pago y procesará los pagos más adelante. Sin embargo, debemos otorgar a cada hotel la capacidad de acceder a los datos de la tarjeta de crédito luego de que los huéspedes acepten la oferta. Los hoteles deben realizar un control antifraude (como una transacción de $ 1) o introducir los datos de CC en su sistema de software de pago.

Me gustaría entender cómo podría lograrse este flujo de trabajo: la mayoría de los servicios en línea ofrecen "tokenización" como una solución de almacenamiento.

Lo que parece bueno, pero no sé cómo enviar la información de la tarjeta a los hoteles. Me parece que la tokenización se usa para realizar más tarde la transacción, lo que no puedo hacer en nombre de los hoteles. Por otra parte, una vez tokenizado, me parece que los datos no se pueden recuperar. Cada hotel debe poder ver y utilizar los datos de CC de sus huéspedes.

Cualquier ayuda o referencia a un proveedor adecuado es bienvenida.

    
pregunta Glasnhost 22.06.2013 - 19:10
fuente

2 respuestas

5

Si toca los datos del titular de la tarjeta, aunque solo sea para recibirlos y transmitirlos inmediatamente a otra parte, tiene que preocuparse por PCI. (Tal vez no directamente: si no realiza los pagos usted mismo, no tiene eso como una responsabilidad contractual ... pero los comerciantes que lo hacen deben asegurarse de que usted, como proveedor de servicios externo, son compatibles.)

Un servicio de tokenización solo le permite reducir la cantidad de sistemas que están dentro del alcance, eliminando el almacenamiento de la ecuación; no te permite escapar del PCI por completo. Tendría que crear su propio flujo de trabajo para distribuir tokens a terceros y autorizarlos (¡enérgicamente!) Para ver los números detokenised; y esto ciertamente estaría sujeto a todos los rigores de PCI.

Los comerciantes evitan ser arrastrados al alcance de PCI al permitir que un procesador de pagos se ocupe de todo el flujo de datos del titular de la tarjeta, redirigiendo al usuario al sitio web de su procesador cuando sea el momento de ingresar el número de tarjeta y redirigiéndolo nuevamente al final. No tengo conocimiento de ningún servicio similar a un procesador de pagos que tome esos detalles por usted y, en lugar de realizar una transacción, los entregue a un comerciante independiente.

Su modelo es inherentemente bastante arriesgado. Sus comerciantes realizarán transacciones iniciales de Tarjeta no presente sin el código de seguridad (CVV2 et al) o 3-D Secure (VbV et al) en este flujo de trabajo. Esto pone mucha responsabilidad sobre los hombros del comerciante, y lo pone en riesgo de diversión legal si hay algún problema con sus sistemas.

    
respondido por el bobince 22.06.2013 - 20:53
fuente
2

Mi primer pensamiento: si utiliza un tercero para el almacenamiento de información de CC, pero tiene la opción de obtener esa información de CC de ese proveedor, en realidad sería equivalente a que usted mismo almacene los datos.

La tokenización se usa exactamente, por lo que tendrá "acceso" al CC (para que pueda crear un cargo), pero no puede ver la información del CC en sí.

    
respondido por el Joel L 22.06.2013 - 20:17
fuente

Lea otras preguntas en las etiquetas

Compatibilidad con TLS v1.0 aunque sigue siendo compatible con PCI Riesgos de seguridad al dejar abierta una conexión VPN