Должен ли я быть совместимым с PCI DSS?

Question

Я занимаюсь разработкой финансового программного обеспечения и подключаю его к сторонней компании, выпускающей кредитные карты, которая совместима с pci. Наша компания является канадской компанией. Мы не совместимы с pci и не планируем быть совместимыми с pci. Но мы хотим сохранить последние 4 цифры PAN, чтобы помочь персоналу на переднем крае идентифицировать.

Если я ТОЛЬКО сохраню последние 4 цифры PAN, имя клиента, дату истечения срока действия и PRN, должен ли я быть PCI-совместимым? Если мне нужно, что если я ТОЛЬКО сохраню последние 4 цифры PAN с PRN, должен ли я быть PCI-совместимым?

Я прочитал документацию по PCI DSS. Он только сказал, что я должен быть pci-совместимым, если я сохраню PAN, но не сказал, если я сохраню только последние 4 цифры.

Спасибо.

Answer 1

Решающим фактором для применимости PCI-DSS является то, действительно ли вы сохраняете , процесс или передаете основной номер счета (длинный номер на передней панели карта).

Если у вас есть только последние четыре цифры номера и вы не вступаете в контакт с какими-либо другими цифрами PAN каким-либо иным образом, вам не нужно отвечать требованиям PCI.

Однако, если у вас есть полный номер карты в любом месте, даже если она только для обработки, вам нужно будет соответствовать требованиям PCI.

Вы можете проверить это на странице 7 стандарта PCI (версия 2.0), доступного на веб-сайте PCI: https://www.pcisecuritystandards.org/

Answer 2

Если ваша компания хранит, обрабатывает или передает имя владельца карты, дату истечения срока действия, последнюю 4-значную цифру, вы не должны соответствовать требованиям PCI DSS. НО, если вы храните, обрабатываете или передаете данные владельца карты вместе с номером PAN, вы должны соответствовать требованию PCI DSS 12, тогда как кроме требования 3.1 не будет применяться, потому что это относится только к номеру PAN.

Если ваша компания передает транзакцию стороннему поставщику, например Pay Pay, India Pay и т. Д. PCI DSS применяется как к платежному шлюзу, так и к компании. Потому что информация о держателе карты передается с сервера компании на сервер платежной карты.

Answer 3

Если пользователь вводит «любые» данные, связанные с кредитной картой, в «любое» из ваших приложений, вы должны быть совместимы с pci независимо от того, что вы делаете с ним.Кроме того, всегда полезно быть совместимым с pci, учитывая его растущую популярность.

Answer 4

Лучший ответ, который я смог найти, на веб-сайте Authorize.net:

http://community.developer.authorize.net/t5/The-Authorize-Net-Developer-Blog/Notifying-Users-Their-Credit-Card-Is-About-to-Expire-Without-PCI/ba-p/8025

Когда я читаю это, они в основном говорят, что вы можете использовать лазейку. Технически вы не можете сохранить дату окончания срока действия.Но вы можете хранить информацию, основанную на дате истечения срока действия, а именно дате, когда вы хотите напомнить клиенту обновить свою карту.

Answer 5

Каждый веб-сайт в США, который каким-либо образом обрабатывает кредитные карты, должен быть PCI-совместимым.Уровень соответствия будет зависеть от того, что именно вы делаете.Соответствие требованиям PCI распространяется на сохранение последних четырех цифр номера кредитной карты и даты истечения срока действия (вы можете сделать это, но они не рекомендуют это, и если вы делаете это, они рекомендуют шифровать это).