我正在彻底检查我们的订单处理系统的绝对定时炸弹,如果我们对 PCI 合规性进行审计,明天我们就会停业。太业余了,太吓人了。
我计划向上级提出一个案例,即存储 CC 信息的责任超过了不必重新向客户询问数字的便利,但我知道我会被问到像亚马逊这样的供应商和这样就可以避免存储重复购买的信息,我对此没有任何答案。
那么,像亚马逊这样的供应商和其他按月计费的供应商如何在不存储诸如 CVV 信息之类的东西(PCI DSS v3 明确禁止)的情况下授权未来的费用呢?
我在别处读到,可以创建和存储令牌来代替条带信息,但是拥有代表条带内容的令牌与条带信息本身一样有价值吗?任何拥有代币的人都可能进行欺诈性指控,那么谁在乎他们是否拥有该代币或实际的 CC/CVV 信息?
或者令牌转换只是一种说法“我们没有存储实际的 PAN/CVV ”并将监管合规问题传递给发行它的人?
伊万,这是一个绝对巨大的话题。你在这里有很多问题。我会尽力提供帮助,但这可能会因为过于宽泛而被关闭。
我计划向上级提出一个案例,即存储 CC 信息的责任超过了不必重新向客户询问数字的便利,但我知道我会被问到像亚马逊这样的供应商和这样就可以避免存储重复购买的信息,我对此没有任何答案。
存储信用卡数据是完全可以接受的,但是有很多关于如何存储的规则——在哪里、如何、审计等。有很多关于这个主题的书。
那么,像亚马逊这样的供应商和其他按月计费的供应商如何在不存储诸如 CVV 信息之类的东西(PCI DSS v3 明确禁止)的情况下授权未来的费用呢?
您根本不需要 CVV 信息,它只是有助于欺诈。第一次检查后(无需将其写入磁盘即可完成),您可以假设该卡不是欺诈性的。它已经完成了它需要做的工作。
我在别处读到,可以创建和存储令牌来代替条带信息,但是拥有代表条带内容的令牌与条带信息本身一样有价值吗?任何拥有代币的人都可能进行欺诈性指控,那么谁在乎他们是否拥有该代币或实际的 CC/CVV 信息?
如果您设法将持卡人信息从您的环境中获取并进入其他人的护理,则标记化是很好的。“令牌”是一个唯一标识符,它允许您的系统仍然以传统意义上的方式运行。您向您的提供商提供令牌列表,他们将其转换为实数。
这很好,因为他们有责任存储/处理/等真实数字。您的责任在这方面消失了。
还是代币转换只是一种说“我们没有存储实际的 PAN/CVV”并将监管合规问题传递给发行它的人的一种方式?
确切地说,除了它是给处理它的人,而不是生成令牌的人。:)
编辑:很多企业在不了解违规成本的情况下不会感兴趣。
已经有几年了,但是当我做电子商务时(包括为一家以前以明文形式存储数千个信用卡号的大公司的一份工作),我首选的方法是使用 Authorize.net 的 CIM 服务(其他提供商也有类似的服务) ,这只是我最熟悉的一种;货比三家,寻找最适合您的)。
它的工作方式是您将信息发送到处理器,然后他们返回一个令牌。令牌比实际的卡数据更安全,因为只有使用那个处理器将该卡记入您的帐户才好。有人不能拿走代币并在其他地方使用它,如果他们真的拿到了,他们所能做的就是向你收取虚假费用,这会将钱存入你的账户,让你看起来很糟糕,但你可以退款并取消代币,除了暂时的不便外,没有造成任何真正的伤害——坏人不会损失金钱,也无需更换卡。
如果经常性费用是一致的且有计划的,则其他一些卡处理服务可让您设置订阅计划,您最初会在其中发送卡信息以及计划说明,说明多久计费一次。此后,您可以取消该计划,但您既没有卡信息也没有令牌,因此您不会意外地向他们收费(就像使用令牌一样)或在违规时丢失他们的卡信息。
永远不要以任何方式存储 CVV,这是严格禁止的。你根本不需要它,拥有它是一个巨大的责任。除了最多一个令牌或订阅 ID 之外,您不需要存储任何内容。最后 4 位数字和卡类型(签证/万事达卡/等)可能有助于客户服务,但并非真正必要。
RSTaylor 为您指明了正确的方向。有些公司会为您提供信用卡处理服务(当然是收费的)。您可以建立一个站点,使客户的号码永远不会进入您的服务器,甚至在 RAM 中也不会,因此它不会在那里受到损害。
免责声明 1:您必须依赖该公司的诚信和合规性。我不知道足够推荐一个特定的公司。
免责声明 2:将信用卡功能无缝融入您的网站也有些棘手,但可以做到。
对于你的问题
那么,像亚马逊这样的供应商和其他按月计费的供应商如何在不存储诸如 CVV 信息之类的东西(PCI DSS v3 明确禁止)的情况下授权未来的费用呢?
我想给出一个确切的场景。
所以这意味着它是关于商家和银行之间的欺诈规则。