支払いが処理されるまでCVC / CVV / CVV2を保存する
取引の支払い情報を保存する必要があります。
ERP(ビジネス管理ソフトウェア))にまだ送信されていないトランザクションを読み取って送信するスクリプトがあります。このスクリプトは数分ごとに実行されます。
PCI DSSによると、クレジットカード番号、カード所有者名、有効期限などの情報は保存できますが、CVV2は保存できません。スクリプトが送信するまで、この情報をどのように保存すればよいですか?
技術的には、PCI SSCによると、承認が発生するまでCVVおよびその他の機密認証データを保持できます。つまり、機密認証データの保存に関する制限は、認証/処理後のストレージに適用されます。これが PCI SSCからのデータストレージ要件に関するドキュメント です。 「PCIデータストレージの技術ガイドライン」の表を参照してください。表の脚注2は次のように述べています。
機密性の高い認証データは、認証後も(暗号化されていても)保存しないでください。
QSAとしての私のアドバイスは、認証前の保存期間はビジネスの観点から妥当である必要があるということです。また、技術的に可能な限り短くしたいと思います。あなたのデータフローがあなたの業界の他のものと類似していて、彼らが機密データをせいぜい数秒以上保存せずに支払いを処理しているなら、私はあなたと同じことを期待します。
QSAと話す必要があります。
CVVを保存することはできません。ただし、承認されたトランザクションフローの一部として付随的なストレージが発生する可能性があり、QSAがそれを検出した場合、それは許容されます。そうしないと、バッチトランザクションでCVVを使用できなくなります。
gowenfawr と回答したため、CVV番号を保存することはできません。 CVV番号の目的は、カード所有者がカードを所有していることを証明することであり、取引を承認することではありません。販売者がCVV番号を取得できる場合、クレジットカード会社がチャージバックを拒否するため、消費者が不正なトランザクションを正常にチャージバックする能力を拒否します。
この質問に対する最も一般的な答えは正しいものではありません。CVV番号を保存する唯一の場所はクレジットカード自体です。
あなたはそれを行うことができないでしょう-あなたは別の方法を見つける必要があるでしょう。
メモリがPCIを提供している場合DSSフレームワークは、クレジットカード番号(または他のPAN)をplaintextに完全に格納できないことも述べています。領収書に表示されている中央の数字を難読化するため、スクリプトでこれも実行できるようにする必要があります。
(当然のことながら)ここには多くの詳細が欠けています。私はDKNUCKLESに同意し、プロセスの問題があると信じています。カード会員データの承認により、遅延の根拠を無害化できますか?
完全なトラックデータやCVV2番号を保存することはできません。