如果您在图像上有卡号但实际上没有收集数据,是否适用PCI要求?

时间:2011-12-24 04:00:30

标签: pci-dss pci-compliance

我工作的公司将收到我们将收集数据的表格的扫描图像(放入XML文件)信用卡号码已写入表格,但我们不会收集该数据或处理付款。

在这种情况下,PCI标准是否适用?没有带有该号码的实际数据文件,但是任何查看该图像的人都可以轻松获得信用卡号码。持卡人姓名将出现,没有安全码。不确定是否包含失效日期。

我认为我们属于服务提供商的定义,对我而言,SAQ-D似乎最有可能适用。有问题的环境不符合SAQ-D中的所有要求。

我从我所读到的内容中看到的是,这些要求适用,但即使他们没有,我们为什么不尝试遵循这些要求呢?只要我们定期删除图像,我认为我们就可以了。

我很感激PCI-DSS文档的任何输入,链接,相关部分等都支持或反对此类情景中的标准。

1 个答案:

答案 0 :(得分:5)

PCI标准适用于传输路径上的任何机器,无论它是否存储在该机器上。我相信数据虽然不是文本形式,但仍然可用(想想OCR),因此应被视为任何其他形式的数据。

除此之外,只要定期删除图像,这肯定会让你遇到麻烦。同样,问题不在于它是否存储,关注的是是否可以检索数据。可以从甚至不存储数据的系统中检索数据。

正如cshneid所说,你最好通过询问“合格的律师”。但是,根据经验,如果有任何疑问,则表示您不符合要求。