PCI DSSに対してカード所有者の許可なしにカードの詳細を保存していますか?
私はオンラインストアから何かを購入しました。カードの詳細を入力すると、その詳細がHTTPS接続を介してサーバーに送信され、その後、プロバイダーに転送されたと思います。
私はそれ以来彼らのサイトを読みました、そして彼らはカードの詳細を保存すると彼らは言っています、しかし:
- これらの詳細や、アカウントセクションに保存されているカードの詳細を示すものは何も表示されません。
- カードの詳細を保存して、後で入力するときに使用することはできませんでした。
- 詳細をプロバイダーのトークンとして保存しているのか、誰かのデスクトップ上のプレーンテキストファイルに保存しているのか、私にはわかりません。それだけの価値があるので、購入して3週間前に商品を受け取りましたが、お金がたった今私の口座から出てきただけで、少し変わっているようです。
では、カード所有者の許可なしにカードの詳細を保存すると、PCI DSSに違反することになりますか? PCI-DSSのドキュメントを確認しましたが、かなり詳細ですが、これについての言及はありません。
PCI要件3.1では、カード所有者はカードストレージデータを最小限に抑える必要があります...
再発料金などを必要とするサービスではない場合、保持する必要のあるデータよりも多くのデータが含まれると思います(チャージバック追跡の場合、他のデータ、ハッシュ、パーシャルなどを保持できます)。
PCI-DSSは、データの格納方法をカバーしています。販売者契約、さらに重要なのはカード所有者の受け入れルールにより、カードデータを保存できる時期が決定されます。たとえば、ビザ加盟店のカード受け入れガイドラインをご覧ください。 http://usa.visa.com/merchants/new-acceptance/merchant-guidelines.html