web-dev-qa-db-ja.com

メールでクレジットカード情報を送信すると、PCI DSSに違反しますか?

アメリカにいるので、ますます多くの企業が機密のクレジットカード情報(トランザクションを行うために必要なすべての情報)をプレーンメールで送信するよう要求することに気づきました。これはセキュリティ上の脅威か、少なくとも悪い習慣だと思います。

私の質問は、それが標準( PCI DSS など)に違反しているかどうか、およびそのような要求をどのように処理する必要があるかです。

5
Salvador Dali

はい、PCI DSS要件4.2:

保護されていないPANをエンドユーザーメッセージングテクノロジ(電子メール、インスタントメッセージング、チャットなど)で送信しないでください。

電子メールが何らかの形で暗号化されていない限り、カード会員データの送信にそれを使用することはできません。

11
John Downey

practiceでは、DSSに違反しています。 理論では、それはおそらくできませんでしたが、それは現実というよりむしろ歩みです。

DSS要件3.4([Encrypt] PANストレージ内のデータ)および4.1(Encrypt PANパブリックネットワーク全体のデータ))は、通常、SMTPメールに違反しています。各メールホップは一時的であってもディスクにメールを書き込むストアアンドフォワードゲートウェイです。暗号化されていない限り、それは3.4違反です。TLSで暗号化された各メール接続は4.1では問題ありませんが、販売者はシステムまたはあなたとそれらの間のシステムはTLSを使用するため、監査に合格することはありません。

完全に暗号化されたパス(理論的には、暗号化されたディスクを備えた各メールサーバーとTLSで保護されたすべてのネットワーク接続)を持つことは理論的には可能ですが、インターネットベースの電子メールに対しては不可能であり、強制できません。したがって、いいえ、カードデータを電子メールで送信することはPCI DSSに違反します。販売者に依頼することや、依頼された場合に依頼することはできません。

(それでもが発生します。そしてPCIは、カード所有者が取引先の商人の慣行について苦情を言いやすいように構成されていません。別の商人へのおそらくあなたの最善の策です。)

2
gowenfawr