web-dev-qa-db-fra.com

Le stockage de CVV est-il conforme aux normes PCI?

Par expérience personnelle liée à l'emploi, je sais que de nombreux "moteurs de réservation" stockent les informations CVV pour les cartes de crédit des clients à partir du moment où la réservation est effectuée jusqu'au moment où le client quitte l'hôtel. Pour les personnes qui réservent leurs chambres un an à l'avance, cela signifie que leurs données CVV sont dans le moteur de réservation pour une année complète !

J'en suis conscient car mes fonctions m'obligent à m'interfacer régulièrement avec plusieurs prestataires de ce service, ce qui me permet d'avoir accès à une multitude de codes CVC/CVV/CVV2 de clients. J'ai personnellement observé le comportement des applications de collecter le code au moment de la réservation et de le conserver jusqu'au départ.

Certains moteurs de réservation limitent le nombre de fois où vous pouvez consulter les informations de carte de crédit (je crois qu'un en particulier m'a limité à 5), mais les informations sont toujours transmises au Channel Manager et à PMS - et je travaille avec les trois.

Bien sûr, il existe certaines passerelles de paiement qui ne nécessitent pas le code CVV pour traiter une transaction. Cependant, la plupart des hôteliers avec lesquels je travaille disposent de passerelles de paiement.

Je crains que la conservation de ces données pendant une aussi longue période soit contraire aux normes PCI-DSS, à d'autres exigences légales ou aux meilleures pratiques de l'industrie. J'ai lu les réponses à une question sur le sujet (lien ci-dessous), mais le problème n'est toujours pas clair pour moi en ce qui concerne la façon dont cela s'applique à des services tels que les moteurs de réservation.

Stockage de CVC/CVV/CVV2 jusqu'à ce que le paiement soit traité

pci-dsscompliancecredit-card
16
Andras Gyomrey

Le stockage de données d'authentification sensibles ne doit explicitement pas être stocké après autorisation. Les données de pré-autorisation peuvent être stockées et sont en dehors du domaine du PCI DSS. Les marques de cartes de paiement individuelles déterminent les détails de leur stockage, de leur durée et de ce qui doit être fait au cours du processus.

Le PCI SSC a clairement indiqué que ces données devraient être protégées avec la même vigueur que les données post-autorisation du titulaire de carte comme les PAN. L'approche différente de la préautorisation par rapport à la postautorisation est en grande partie due à la nature diverse et compliquée des données de préautorisation flottant (votre carte physique pourrait être considérée comme des données de préautorisation, et il y a des gens qui envoient littéralement leurs cartes à effectuer des paiements, bien que je ne sache pas que quiconque ait l'intention de le faire.)

7
Hamhot Ptonel

Le stockage de CVV n'est pas autorisé:

enter image description here

Il y a quelques éléments à considérer:

  1. Vous supposez que booking.com stocke CVV
  2. Vous supposez qu'un CVV est nécessaire pour traiter une transaction.

Sur 1) - il ne peut y avoir aucun moyen de confirmer si booking.com, Expedia stocke à moins que vous y travailliez. Ils devraient répondre à un QSA. Maintenant, en ce qui concerne le CVV qui est stocké, c'est-à-dire les informations CVV2, il est utilisé pour transactions CNP . Ce que je peut voir une entreprise faire, c'est peut-être faire un hachage cryptographique, stocker le hachage et faire une comparaison.

Sur 2) - encore une fois, CVV est juste un mécanisme supplémentaire destiné à prévenir la fraude. Il n'était pas vraiment nécessaire de traiter une transaction.

Une fois le processus autorisé, certaines sociétés de cartes de crédit donnent aux marchands d'autres identifiants à utiliser pour une validation future. Cela peut être lu/expliqué via Visa " Meilleure pratique du commerçant pour les transactions récurrentes ."

Si je devais deviner comment ça marche:

Consumer --> (CC + CVV2) --> Merchant 
Merchant --> process this --> VISA
VISA --> all is good to go btw here is a summary [additional code] for future reference --> VISA
Merchant --> stores additional code for future reference
Consumer (months later) --> "I want to buy this" --> Merchant
Merchant --> we have data from you, and also from Visa
Merchant --> processed thank you --> Consumer

Ma meilleure estimation sur une quantité limitée de lecture et/ou de caféine.

16
munkeyoto

Il convient de noter que l'acquéreur n'utilise pas utilement le CVV sauf s'il existe une adresse associée pour vérifier. L'acquéreur peut désactiver la vérification AVS, ce qui signifie que le CVV est ignoré lors de la soumission.

2
Mike