私はオンラインストアから何かを購入しました。カードの詳細を入力すると、その詳細がHTTPS接続を介してサーバーに送信され、その後、プロバイダーに転送されたと思います。
私はそれ以来彼らのサイトを読みました、そして彼らはカードの詳細を保存すると彼らは言っています、しかし:
では、カード所有者の許可なしにカードの詳細を保存すると、PCI DSSに違反することになりますか? PCI-DSSのドキュメントを確認しましたが、かなり詳細ですが、これについての言及はありません。
PCI要件3.1では、カード所有者はカードストレージデータを最小限に抑える必要があります...
再発料金などを必要とするサービスではない場合、保持する必要のあるデータよりも多くのデータが含まれると思います(チャージバック追跡の場合、他のデータ、ハッシュ、パーシャルなどを保持できます)。
PCI-DSSは、データの格納方法をカバーしています。販売者契約、さらに重要なのはカード所有者の受け入れルールにより、カードデータを保存できる時期が決定されます。たとえば、ビザ加盟店のカード受け入れガイドラインをご覧ください。 http://usa.visa.com/merchants/new-acceptance/merchant-guidelines.html