web-dev-qa-db-ja.com

クレジットカードデータを最終的な顧客に提示し、PCIに準拠できますか?

予約管理システムを使用しています。ホスピタリティ業界では、保証としてクレジットカードの概念があります。いかなる種類の予約を行う場合でも、予約を確保するためにクレジットカード情報の入力を求められますが、予約状況によっては、ノーショーまたはその他のコンセプトの場合にのみ請求される場合があります予約プロセスの後に発生します。

たとえば、1月に10月に開催されるサファリツアーを予約できます。

したがって、基本的には、予約が有効である限り、クレジットカードデータを保持する必要があります。

予約の1日が発生し、ノーショーなどがあります。ホテルの担当者(私の顧客)は、ユーザーのクレジットカードデータを照会して、請求することができます。

クレジットカードデータをPCIに準拠した方法で保存する場合、ユーザーのクレジットカードデータを、それを使用してユーザーに請求する必要のあるホテルの認定スタッフ(顧客)に表示できますか?

繰り返しますが、私の顧客はホテルのスタッフ、ツアーオペレーター、旅行代理店です。そして、システムのユーザーはそれを通して予約し、彼らのクレジットカード番号を与える人々です。

pci-dsscredit-cardstoragepci-scope
7
jvlucic

最終的には、PCI監査人と一緒にこれを理解する必要があると思いますが、私はそうではありません。これを行う方法を理解するのに苦労することになると思います。a)あなたとカードデータの最終的なユーザーに過度の負担をかけず、b)まだPCIのままのシステムをそのままにしておく方法です。準拠しており、監査人が承認の印を押しますが、PCI DSS v3がそれを不可能にすることもないと思います。

これは最も重要な問題です:

カードデータがPCI準拠のシステムに入ると、非準拠の方法で抽出して配信することはできません。つまり、カードのデータを取り出して、たとえばホテルにメールしたり、電話で誰かに渡すことはできません。常に暗号化され、アクセスがログに記録され、保護されていないPANが正当なビジネスニーズを持つユーザーに対してのみ表示される必要があります。

アクセスが適切に制限され、監査ログが記録されている場合、ホテルの担当者は実際に正当なビジネスニーズを持っている(カードを請求できる必要がある)ことを考えると、これをうまく論じることができるかもしれません。ただし、それでもリスクのレベルは上がります。特定の監査人は、この推論の系統の購入を拒否する場合があります。

データをホテルまたはツアーオペレーターが所有するPCI準拠の処理システムに直接送信して、人間の仲介者を介さずに、そこから心配することができれば、はるかに良いでしょう。

4
Xander

完全に読み取り可能なクレジットカードを誰にも表示しないでください(承認されたユーザーを含む)。これは悪いセキュリティ慣行です。その場合は、さらに強力なアクセス制御と監視制御を実装して、承認されたユーザーの資格情報が危険にさらされないようにし、ハッカーがCCデータを盗み取らないようにする必要があります。 CCの最後の4桁を表示するほうがよいでしょう。

1
avakharia

支払いゲートウェイは、PCIカードに準拠した方法でクレジットカード情報をサーバーに保存してトークン化する方法を備えている可能性があります。たとえば、 Authorize.Net を使用する場合、その Customer Information Manager サービスを使用して、エンドユーザーのカード情報をAuthorize.Netのサーバーに安全に格納およびトークン化できます。

このようなサービスを使用すると、エンドユーザーが予約を予約すると、クレジットカード情報を支払いゲートウェイのサーバーに保存できます。これを行うと、トークンが返され、データベースに保存できます。その顧客のクレジットカードに対してトランザクションを実行する必要があるときはいつでも、トークンを提供することで実行できます。

これにより、エンドユーザーのクレジットカード情報をサーバーに保存する必要がなく、PCIに準拠しており、いつでも(トークンを使用して)エンドユーザーのカードに対してトランザクションを実行できます。

0
mti2935

クレジットカードのデータは均一ではありません。表示できる情報と、保存を許可しない情報があります。たとえば、CVV2コードを保存することはできません。さらに他のクレジットカードデータは、カード所有者名、取引履歴などです。そのため、フィールドごとにそれを確認する必要があります。

一般的に言って、ベストプラクティスは最小化です。特定の人が作業を行うために必要なデータよりも多くのデータにアクセスできるようにしないでください。たとえば、コールセンターのカスタマーサービス担当者は、CC番号をまったく見ることができません。

0
Kevin Keane

ユーザーがMFA(多要素認証)に合格する限り、完全なクレジットカードデータを表示できます。また、MFAの検証に使用される電話番号をそのユーザーに添付する必要があります。カードデータを再表示するためのリンクは使用できません。また、ページは決してキャッシュされるべきではありません。

0
Dani Han