クレジットカードの保管
わかりました、それでデジタル化されたクレジットカード情報/記録を保存することはそれがベストプラクティスになると十分に文書化されたプロセスです。私は最近、企業が物理的なクレジットカードをどのように保存、取得、および処理できるかという質問を受けました。 PCI-DSS規格について特に詳しくない
シナリオは次のとおりです。ホテルはPCIに準拠することを望んでおり、サーバーはすべて最新の状態になっていますが、ビジネスの一環として、ゲストが「タブ」を開始できる非常にアクティブなバー/クラブを運営しています。タブを開始するには、ゲストは最初に有効なクレジットカードを渡す必要があります。このカードはカウンターの下に保管されますが、特別な方法で保護されません。このカードをアクセス制御なしで(バーの後ろにいる従業員は「ログ」を生成せずにアクセスできます)、安全なストレージ(たとえば、金庫ではない)がないと、PCIコンプライアンスに違反しますか?
このような環境でこのようなカードを処理する最良の方法は何でしょうか?
カード所有者による現在のトランザクションの場合、PCI DSS内の物理的なセキュリティに関してはほとんどありません。カード所有者は自分のカードに責任があり、第三者の保管のためにカードを他人に引き渡すことはできません。すべてのバーテンダーなどのカードへのアクセスを制限するためにこのシナリオで起こるべきことは、0.01ドルの事前承認がカードから取られ、カードがタブ番号とともにカード所有者に返されることです。その後、そのタブから夕方に注文し、夜の終わりに支払うことができます。彼らが彼らのカードを持って去るならば、バーは事前承認に基づいてカードに請求することができます。
これを行うもう1つの方法は、特定のバーのスタッフがタブを実行している人々のカードを担当して、誰がいつどのカードを持っているかを知ることです。シフトや休憩のため、これは実際には実用的ではないため、前のプロセスが最適です。
物理的なカードの保存がpci dssとどのように関連しているかわからない、私が不思議に思うのは、なぜ最初にカードを保存するのかということです。簡単なことは、カードをスワイプして詳細をコンピュータシステムに保存することです。 (タブにCCを割り当てます)これが、最近のほとんどのホテルのやり方です。
PCI DSSは、お客様のカードを保持することを明確に規定するものではありませんが、9.6「すべてのメディアを物理的に保護する」でカバーされています。テスト手順を引用すると、
9.6カード会員データを保護する手順に、すべてのメディア(コンピューター、リムーバブル電子メディア、領収書、レポート、ファックスなどを含むが、これらに限定されない)を物理的に保護するための制御が含まれていることを確認します。
カード自体はカード会員データを含む物理的なメディアです。紙を使わずに、カードのコピーをFAXで送信した人だと考えてください。 「物理的にセキュリティで保護する」とは、許可された担当者(スタッフなど)だけがアクセスできるようにし、許可されていない担当者(バー越しにバージなど)がアクセスできないようにするための何らかのアクセス制御を意味します。レジスタードロワーの内部はうまく機能する可能性があります。それはとにかく現金を保護するためにデューデリジェンス保護が施されたものであり、すべてのスタッフは追加の混乱なしに必要なアクセスを持っているからです。
カードはCVVを含むという点で実際には異なる場合があります。これは、PCIに従って「保存」することはできませんDSS 3.2.2。裏にスワイプしてください)、明らかに物理的なトランザクションでは別の方法で処理されます。残念ながら、そこでのニュアンスについての洞察はありません。
これが私の要約につながります... PCI DSSここで得られるアドバイス
- card-Not-Present( [〜#〜] cnp [〜#〜] )トランザクションに偏っている可能性があります。
- PCI DSSアドバイスは [〜#〜] qsa [〜#〜] からのものでない限り、意見にすぎません。
これを、実装をガイドするために認定された監査人に支払う必要があるときの1つと考えることをお勧めします。 (そして、@ AndyMacがある程度の金額を承認し、後でタブ全体の金額を決済するという提案はおそらく正しい方法だと思いますが、顧客が署名せずに去った場合、その状況で署名がどのように調整されるかわかりません-私の経験CNPトランザクションに偏っています。)