好的,因此就最佳实践而言,存储数字化信用卡信息/记录是一个有据可查的过程。我最近被问到公司如何存储、检索和处理实体信用卡。我对 PCI-DSS 标准不是特别熟悉
场景是这样的:一家酒店想要符合 PCI 标准,他们的服务器都达到了标准,但作为他们业务的一部分,他们经营着一个非常活跃的酒吧/俱乐部,客人可以在其中开始一个“标签”。为了开始一个标签,客人必须首先交出一张有效的信用卡。这张卡然后保存在柜台下,但没有以任何特殊方式固定。这张卡没有访问控制(酒吧后面的任何员工都可以在不生成“日志”的情况下访问它)并且没有任何类型的安全存储(例如不在保险箱中)是否会违反 PCI 合规性?
在这样的环境中处理此类卡片的最佳方式是什么?
对于持卡人当前的交易,PCI DSS 中的物理安全性很少。持卡人应对自己的卡负责,不应将其交给他人用于第三方存储。在这种情况下,为了限制所有调酒师等对卡的访问,应该从卡中提取 0.01 美元的预授权,并将卡及其标签号退还给持卡人。然后,他们可以从该选项卡上订购晚上的东西,并在晚上结束时付款。如果他们带着卡离开,酒吧可以根据预授权从卡上收取费用。
另一种方法可能是让特定的酒吧工作人员负责他们为其运行标签的人的卡片,以便您知道谁在何时拥有什么卡片。由于轮班和休息,这实际上并不实用,因此之前的过程是最好的。
我不确定如何存储物理卡与 pci dss 相关,我想知道的是为什么他们首先要存储卡?简单的做法是刷卡并将详细信息存储在计算机系统中。(将 CC 分配给选项卡)这就是如今大多数酒店的做法。
虽然 PCI DSS 没有明确要求保留客户的卡,但它在 9.6“物理保护所有媒体”中涵盖。引用测试程序,
9.6 确认保护持卡人数据的程序包括对所有媒体(包括但不限于计算机、可移动电子媒体、纸质收据、纸质报告和传真)进行物理保护的控制措施。
卡本身是包含持卡人数据的物理介质 - 可以将其想象为有人向您传真卡的副本,只是没有纸张:)。“物理保护”将意味着某种访问控制,以确保只有授权人员(例如,员工)而不是未经授权的人员(例如,伸手越过酒吧的酒鬼)可以到达它。在收银机抽屉内可能会很好用,因为这是受到尽职调查保护的东西,因为它无论如何都在保护您的现金,并且您的所有员工都有必要的访问权限而不会造成额外的干扰。
该卡实际上可能不同,因为它包含 CVV,根据 PCI DSS 3.2.2 不能“存储”。但是由于卡片是不断地实际交给工作人员的(例如,你的服务员把它带到后面刷卡),显然这与物理交易的处理方式不同。恐怕我对那里的细微差别没有任何见解。
这引出了我的总结... PCI DSS 建议你在这里
我鼓励您将此视为您需要支付认证审核员以指导您的实施的时间之一。(而且我认为@AndyMac 关于授权一些金额然后在以后结算全部标签金额的建议可能是正确的方法,尽管我不知道如果客户在没有签名的情况下离开时如何处理签名 - 我的经验偏向于 CNP 交易。)