it-swarm.com.de

Wie speichere ich Kreditkarteninformationen für wiederholte Transaktionen und bin trotzdem PCI-konform?

Ich überarbeite unsere absolute Zeitbombe eines Auftragsabwicklungssystems, das uns morgen aus dem Geschäft bringen würde, wenn wir auf PCI-Konformität geprüft würden. Es ist so amateurhaft, dass es unheimlich ist.

Ich habe vor, den Vorgesetzten zu erklären, dass die Haftung für die Speicherung von CC-Informationen die Bequemlichkeit überwiegt, den Kunden nicht erneut nach Nummern fragen zu müssen, aber ich weiß, dass ich gefragt werde, wie Anbieter wie Amazon und solche kommen mit dem Speichern von Informationen für wiederholte Einkäufe davon, und ich habe keine Antwort darauf.

Also, wie do Anbieter wie Amazon und alle anderen, die monatlich abrechnen, autorisieren zukünftige Gebühren, ohne Dinge wie CVV-Informationen zu speichern, was von PCI ausdrücklich verboten ist DSS v3?

Ich habe an anderer Stelle gelesen, dass Token anstelle von Streifeninformationen erstellt und gespeichert werden können, aber ist der Besitz eines Tokens, das den Inhalt des Streifens darstellt, nicht genauso wertvoll wie die Streifeninformationen selbst? Jeder, der den Token besitzt, kann betrügerische Anschuldigungen erheben. Wen interessiert es also, ob er diese oder die tatsächlichen CC/CVV-Informationen hat?

Oder ist die Token-Konvertierung nur eine Möglichkeit, "wir speichern nicht die tatsächliche PAN/CVV" zu sagen und Probleme mit der Einhaltung gesetzlicher Vorschriften an denjenigen weiterzugeben, der sie ausgestellt hat?

41
Ivan

Ivan, das ist ein absolut riesiges Thema. Und Sie haben hier eine Reihe von Fragen. Ich werde versuchen zu helfen, aber dies wird wahrscheinlich als zu weit gefasst geschlossen.

Ich habe vor, den Vorgesetzten zu erklären, dass die Haftung für die Speicherung von CC-Informationen die Bequemlichkeit überwiegt, den Kunden nicht erneut nach Nummern fragen zu müssen, aber ich weiß, dass ich gefragt werde, wie Anbieter wie Amazon und solche kommen mit dem Speichern von Informationen für wiederholte Einkäufe davon, und ich habe keine Antwort darauf.

Es ist durchaus akzeptabel, Kreditkartendaten zu speichern, aber es gibt eine Menge Tonnen Regeln, wie Sie dies tun - wo, wie, Prüfung usw. Es gibt viele Bücher zu diesem Thema.

Wie können Anbieter wie Amazon und alle anderen, die monatlich abrechnen, zukünftige Gebühren autorisieren, ohne Dinge wie CVV-Informationen zu speichern, was von PCI DSS v3 ausdrücklich verboten ist?)?

Sie müssen die CVV-Informationen überhaupt nicht haben, sie helfen nur bei Betrug. Nach dem ersten Überprüfen (dies kann ohne Schreiben auf die Festplatte erfolgen) können Sie davon ausgehen, dass die Karte nicht betrügerisch ist. Es hat die Arbeit erledigt, die es tun musste.

Ich habe an anderer Stelle gelesen, dass Token anstelle von Streifeninformationen erstellt und gespeichert werden können, aber ist der Besitz eines Tokens, das den Inhalt des Streifens darstellt, nicht genauso wertvoll wie die Streifeninformationen selbst? Jeder, der den Token besitzt, kann betrügerische Anschuldigungen erheben. Wen interessiert es also, ob er diese oder die tatsächlichen CC/CVV-Informationen hat?

Tokenisierung ist gut, wenn Sie es schaffen, die Karteninhaberinformationen aus Ihrer Umgebung in die Obhut eines anderen zu bringen. Das "Token" ist eine eindeutige Kennung, mit der Ihr System weiterhin im herkömmlichen Sinne agieren kann. Sie stellen Ihrem Provider eine Liste von Token zur Verfügung, die in echte Zahlen übersetzt werden.

Dies ist gut, da es in ihrer Verantwortung liegt, die reellen Zahlen zu speichern/verarbeiten/usw. Ihre Haftung verschwindet in dieser Hinsicht.

Oder ist die Token-Konvertierung nur eine Möglichkeit zu sagen, dass "wir die tatsächliche PAN/CVV nicht speichern" und Probleme bei der Einhaltung gesetzlicher Vorschriften an denjenigen weiterzugeben, der sie ausgestellt hat?

Genau, außer für wen es verarbeitet , nicht für wen die Token generiert werden. :) :)

Bearbeiten: Viele Unternehmen interessieren sich nicht dafür, ohne die Kosten für die Nichteinhaltung zu verstehen.

Siehe http://www.pcistandard.com/card-association-fines/

34
Tim Brigham

Es ist ein paar Jahre her, aber als ich E-Commerce betrieben habe (einschließlich eines Jobs für ein großes Unternehmen, das zuvor Tausende von Kreditkartennummern im Klartext gespeichert hatte), war meine bevorzugte Methode die Verwendung des CIM-Dienstes von Authorize.net (andere Anbieter haben ähnliche Dienste , das ist nur die, mit der ich am besten vertraut bin; stöbern Sie nach der, die für Sie am besten funktioniert).

Die Art und Weise, wie es funktionierte, war, dass Sie die Informationen an den Prozessor gesendet haben und dieser ein Token zurückgegeben hat. Das Token ist sicherer als die tatsächlichen Kartendaten, da es nur sinnvoll ist, diese Karte mit diesem einen Prozessor Ihrem Konto zu belasten. Jemand konnte den Token nicht nehmen und woanders verwenden, und wenn er ihn bekommen würde, könnten sie nur falsche Gebühren von Ihnen erheben, die Geld auf Ihr Konto einzahlen und Sie schlecht aussehen lassen würden, aber Sie könnten Erstatten Sie das Geld zurück und stornieren Sie die Token. Es wird kein wirklicher Schaden angerichtet, außer vorübergehenden Unannehmlichkeiten - kein Geldverlust für die Bösen und keine Notwendigkeit, die Karte zu ersetzen.

Wenn die wiederkehrenden Gebühren konsistent und geplant sind, können Sie bei einigen anderen Kartenverarbeitungsdiensten Abonnementpläne einrichten, bei denen Sie zunächst die Karteninformationen zusammen mit einer Planbeschreibung senden, wie oft wie viel abgerechnet werden soll. Danach können Sie den Plan kündigen, aber Sie haben weder die Karteninformationen noch einen Token, sodass Sie sie nicht versehentlich aufladen können (wie Sie es mit einem Token tun könnten) oder ihre Karteninformationen bei einem Verstoß verlieren können.

Speichern Sie CVV niemals in irgendeiner Weise, was strengstens verboten ist. Sie brauchen es überhaupt nicht und es zu haben ist eine große Belastung. Sie sollten nichts anderes als höchstens ein Token oder eine Abonnement-ID speichern müssen. Die letzten 4 Ziffern und der Kartentyp (Visum/Mastercard/usw.) können den Kundendienst unterstützen, sind jedoch nicht unbedingt erforderlich.

7
RSTaylor

RSTaylor weist Sie in die richtige Richtung. Es gibt Unternehmen, die die Kreditkartenabwicklung für Sie anbieten (natürlich gegen Gebühr). Sie können eine Site so erstellen, dass die Kundennummer niemals an Ihre Server geht, auch nicht im RAM, sodass sie dort nicht kompromittiert werden kann.

Haftungsausschluss 1: Sie müssen sich auf die Integrität und Konformität dieses Unternehmens verlassen. Ich weiß nicht genug, um ein bestimmtes Unternehmen vorzuschlagen.

Haftungsausschluss 2: Es ist auch etwas schwierig, die Kreditkartenfunktion nahtlos in Ihre Website zu integrieren, aber es ist möglich.

2
O. Meyer

Für deine Frage

Wie können Anbieter wie Amazon und alle anderen, die monatlich abrechnen, zukünftige Gebühren autorisieren, ohne Dinge wie CVV-Informationen zu speichern, was von PCI DSS v3 ausdrücklich verboten ist?)?

Ich möchte ein genaues Szenario dazu geben.

  1. Ich kaufe ein Buch bei Amazon über meinen Kindle mit einem Klick. Der Zahlungsvorgang schlägt jedoch fehl. Ich bin sicher, ich habe genug Guthaben auf meiner Kreditkarte und kaufe immer mit der gleichen Karte bei Amazon ein.
  2. Wenn ich die Bestelldaten überprüfe, wird angezeigt, dass ein Problem beim Zahlungsvorgang vorliegt, und ich werde gebeten, eine andere Karte zu verwenden.
  3. Wenn ich die Karten- und Bankinformationen überprüfe, stelle ich fest, dass meine Bank einen Betrugsscheck hat, da einige Kartendaten gestohlen wurden und für alle Online-Zahlungen ein CVV erforderlich ist.

Es handelt sich also um eine Betrugsregel zwischen dem Händler und der Bank.

0
erhun