我工作的公司将收到我们将收集数据的表格的扫描图像(放入XML文件)信用卡号码已写入表格,但我们不会收集该数据或处理付款。
在这种情况下,PCI标准是否适用?没有带有该号码的实际数据文件,但是任何查看该图像的人都可以轻松获得信用卡号码。持卡人姓名将出现,没有安全码。不确定是否包含失效日期。
我认为我们属于服务提供商的定义,对我而言,SAQ-D似乎最有可能适用。有问题的环境不符合SAQ-D中的所有要求。
我从我所读到的内容中看到的是,这些要求适用,但即使他们没有,我们为什么不尝试遵循这些要求呢?只要我们定期删除图像,我认为我们就可以了。
我很感激PCI-DSS文档的任何输入,链接,相关部分等都支持或反对此类情景中的标准。
答案 0 :(得分:5)
PCI标准适用于传输路径上的任何机器,无论它是否存储在该机器上。我相信数据虽然不是文本形式,但仍然可用(想想OCR),因此应被视为任何其他形式的数据。
除此之外,只要定期删除图像,这肯定会让你遇到麻烦。同样,问题不在于它是否存储,关注的是是否可以检索数据。可以从甚至不存储数据的系统中检索数据。
正如cshneid所说,你最好通过询问“合格的律师”。但是,根据经验,如果有任何疑问,则表示您不符合要求。