Credit card 在采集卡数据后,是否有符合PCI标准的方式显示卡数据?
是否允许收集信用卡数据,然后在以后的日期再次查看卡号,或者是否符合PCI标准Credit card 在采集卡数据后,是否有符合PCI标准的方式显示卡数据?,credit-card,pci-compliance,Credit Card,Pci Compliance,是否允许收集信用卡数据,然后在以后的日期再次查看卡号,或者是否符合PCI标准 我在一个行业工作,每个人都把卡片数据写在纸上,然后带回他们的家庭办公室。我尝试让人们使用代币化,但大多数人都有某种ERP,他们希望他们的信用卡数据在其中,因为那是他们实际向信用卡收费的地方。简而言之,你当然可以存储卡号,但如果你这样做,你存储卡号的系统——以及该系统所在的物理设施,在该设施中工作的人员,以及该设施中的网络等等——都属于PCI/DSS范围。在实践中,这可能意味着答案实际上是“不”,因为您突然必须使这些元素
我在一个行业工作,每个人都把卡片数据写在纸上,然后带回他们的家庭办公室。我尝试让人们使用代币化,但大多数人都有某种ERP,他们希望他们的信用卡数据在其中,因为那是他们实际向信用卡收费的地方。简而言之,你当然可以存储卡号,但如果你这样做,你存储卡号的系统——以及该系统所在的物理设施,在该设施中工作的人员,以及该设施中的网络等等——都属于PCI/DSS范围。在实践中,这可能意味着答案实际上是“不”,因为您突然必须使这些元素中的每一个都符合PCI/DSS相当繁重的要求。如果您的设施已经高度安全(例如,加固的系统、员工背景调查、房间通行证等),这可能是一个小代价,但如果不是,您可能会发现获得完全PCI合规性的想法不值得拥有卡数据的好处
如果不能做到这一点,您的银行或处理机构可能会提供一种手段,通过安全的网络登录等方式,将过去交易的屏蔽卡号转换为真实卡号,只要您的员工不复制和保存数据,这就属于PCI规则,只是在使用它的过程中查看它,然后丢弃它。这就是我以前工作的地方所做的。这个问题似乎离题了,因为它是关于PCI合规性的。理论上是的,但只有在真正合规的环境中。如果他们在ERP系统中存储卡的详细信息,那么it、网络和物理环境都必须符合要求。任何可以访问持卡人数据的人也在合规性要求的范围内。正如您所说,最好的方法是在一个尽可能小的范围内系统上集中标记卡数据,然后分发标记供范围外的系统/人员使用。