是否允许或PCI兼容收集信用卡数据,然后在以后再次看到卡号?
我在一个行业中工作,每个人都将纸张数据写在纸上,然后带回他们的家庭办公室。我试图让人们使用标记化,但大多数都有某种ERP,他们想要他们的信用卡数据,因为这是他们实际收取信用卡的地方。
答案 0 :(得分:0)
简短的回答是,您当然可以存储卡号,但如果您这样做,则存储它们的系统 - 以及该系统所在的物理设施,以及在该设施中工作的人员,以及该设施中的网络等 - 都属于PCI / DSS范围。在实践中,这可能意味着答案实际上是“不”,因为您突然必须使这些元素中的每一个都符合PCI / DSS的相当繁重的要求。如果您的设施已经非常安全(例如,硬化系统,员工背景检查,房间访问权限等),这可能是一个很小的代价,但如果不是,您可能会发现完全PCI的想法合规性不值得拥有卡数据的好处。
如果做不到这一点,您的银行或处理器可能会通过类似安全网络登录的方式提供从掩盖的卡号到真实卡号的方法,只要您的员工不在,就属于PCI规则。然后复制并保存数据,只需在使用它的过程中查看它,然后丢弃它。这就是我之前就职的地方。