繰り返しのトランザクションのクレジットカード情報を保存し、PCIに準拠する方法
PCIコンプライアンスについて監査された場合、明日私たちを倒産させる注文処理システムの絶対的な時限爆弾を徹底的に見直しています。素人なので怖いです。
私は、CC情報を保存することの責任が、顧客に番号を再尋ねる必要がないという便利さを上回っていることを、上層に主張することを計画していますが、Amazonのようなベンダーや繰り返し購入するための情報を保存する必要がないので、これに対する答えはありません。
それで、Amazonのようなdoベンダーと毎月請求する他の誰もが、PCIによって明示的に禁止されているCVV情報のようなものを保存せずに将来の料金を承認するDSS v3?
トークンはストライプ情報の代わりに作成および保存できることを他の場所で読みましたが、ストライプの内容を表すトークンを所有することは、ストライプ情報自体と同じくらい貴重ではありませんか?トークンを所持している人はだれでも詐欺的な請求を行う可能性があるので、誰がそれを持っているのか、実際のCC/CVV情報を持っているのかを誰が気にするのですか?
または、トークン変換は「実際のPAN/CVVを保存していない」と言って、それを発行した人に規制コンプライアンスの問題を伝えるだけの方法ですか?
イヴァン、これは絶対に巨大なトピックです。そして、あなたはここでたくさんの質問をします。お手伝いさせていただきますが、あまりにも広範に閉鎖される可能性があります。
私は、CC情報を保存することの責任が、顧客に番号を再尋ねる必要がないという便利さを上回っていることを、上層に主張することを計画していますが、Amazonのようなベンダーや繰り返し購入するための情報を保存する必要がないので、これに対する答えはありません。
クレジットカードデータを保存することは完全に許容できますが、それを行う方法(場所、方法、監査など)を取り巻くtonのルールがあります。この主題に関するたくさんの本。
それで、Amazonのようなベンダーや毎月請求する他の誰もが、PCI DSS v3?
CVV情報はまったく必要ありませんが、詐欺行為に役立ちます。最初にチェックした後(ディスクに書き込まずに行うことができます)、カードは不正ではないと推測できます。それはそれがする必要がある仕事をしました。
トークンはストライプ情報の代わりに作成および保存できることを他の場所で読みましたが、ストライプの内容を表すトークンを所有することは、ストライプ情報自体と同じくらい貴重ではありませんか?トークンを所持している人はだれでも詐欺的な請求を行う可能性があるので、誰がそれを持っているのか、実際のCC/CVV情報を持っているのかを誰が気にするのですか?
トークン化は、カード所有者の情報を自分の環境から他の誰かの世話に利用できる場合に適しています。 「トークン」は、システムが従来の意味で引き続き機能できるようにする一意の識別子です。トークンのリストをプロバイダーに提供すると、プロバイダーはそれらを実際の数値に変換します。
実数を格納/処理/などするのは彼らの責任であるため、これは良いことです。この点であなたの責任はなくなります。
または、トークン変換は、「実際のPAN/CVVを保存していない」とだけ言い、それを発行した人に規制コンプライアンスの問題を伝えるだけなのですか?
正確には、誰がトークンを生成するかではなく、誰にでも処理することを除きます。 :)
編集:多くの企業は、コンプライアンス違反のコストを理解しないと関心を持ちません。
http://www.pcistandard.com/card-association-fines/ を参照してください
それは数年ですが、eコマースを行っていたとき(以前は何千ものクレジットカード番号をプレーンテキストで保存していた大企業の1つの仕事を含む)、私の好みの方法はAuthorize.netのCIMサービスを使用することでした(他のプロバイダーにも同様のサービスがあります) 、それは私が最もよく知っているものです。あなたに最適なものを探してください)。
それが機能した方法は、情報をプロセッサに送信し、トークンを返したというものでした。トークンは、実際のカードデータよりも安全です。これは、その1つのプロセッサを使用してアカウントにそのカードを請求することだけが良いためです。誰かがトークンを取得して他の場所で使用することはできません。取得した場合、それを使用してできることはすべて、あなたから偽の請求を行うことであり、これによりアカウントにお金が投入され、見栄えが悪くなりますが、お金を払い戻してトークンをキャンセルし、一時的な不便を除いて実際の害はありません-悪者にお金が失われることはなく、カードを交換する必要もありません。
定期的な請求が一貫してスケジュールされている場合、他の一部のカード処理サービスではサブスクリプションプランを設定できます。このプランでは、最初にカード情報とプランの説明をどのくらいの頻度で請求するかについての説明を送信します。その後、プランをキャンセルできますが、カード情報もトークンもないため、トークンを使用した場合のように誤って課金したり、違反でカード情報を失ったりすることはありません。
CVVを決して保存しないでください。これは厳しく禁止されています。あなたはそれをまったく必要としません、そしてそれを持っていることは大きな責任です。トークンまたはサブスクリプションIDを除いて、何も保存する必要はありません。最後の4桁とカードの種類(ビザ/マスターカードなど)は、カスタマーサービスに役立つ場合がありますが、実際には必要ありません。
RSTaylorはあなたを正しい方向に向けています。クレジットカードの処理を提供する会社があります(もちろん有料です)。顧客の番号がRAM内であってもサーバーに到達しないようにサイトを構築できるため、そこで侵害されることはありません。
免責事項1:その会社の整合性とコンプライアンスに依存する必要があります。特定の会社を提案するのに十分な知識がありません。
免責事項2:クレジットカード機能をシームレスにサイトに取り込むのも少し難しいですが、それは可能です。
あなたの質問のために
それで、Amazonのようなベンダーと毎月請求する他の誰もが、PCI DSS v3?
それについて正確なシナリオを示したいと思います。
- Kindle経由でAmazonから本をワンクリックで購入しましたが、支払いが失敗します。私は自分のクレジットカードに十分なクレジットがあることを確信しており、Amazonで常に同じカードで買い物をしています。
- 注文内容を確認すると、支払い処理に問題があると表示され、別のカードを使用するように求められます。
- カードと銀行情報を確認したところ、銀行がカードデータを盗み、すべてのオンライン決済にCVVが必要であるため、銀行に不正チェックがあることに気付きました。
つまり、それは商人と銀行の間の詐欺ルールに関することを意味します。