Come mai Appstore può memorizzare CVV2?

Question

Come funziona l'Appstore per aggirare questa restrizione? I dettagli CVV2 possono essere memorizzati localmente su un dispositivo iOS e devono ancora essere conformi PCI? Criptare i dettagli CVV2 localmente e solo l'utente ha la chiave? Mentre il resto dei dettagli della carta di credito come PAN sono memorizzati sul lato server?

Answer 1

BREVE RISPOSTA:

tua banca emittente non richiede la convalida il codice di sicurezza con ogni transazione.

risposta lunga:

codici di sicurezza della carta e banda magnetica di dati non possono essere memorizzati dal PCI DSS. Inoltre, VISA (e possibilmente altre reti) rigorosamente vietano la loro conservazione:

http://usa.visa.com/merchants/risk_management/cisp_payment_applications.html

Merchants memorizzazione di questi dati può essere martellato con multe salate e rilasciati dai processori. Questo è successo a un mio cliente.

Il sistema di e-commerce di Apple richiede il codice di sicurezza quando viene creato un account o quando un nuovo dispositivo accede a un account esistente. In entrambi i casi, la loro piattaforma avvia una transazione zero dollari con la rete di elaborazione per verificare l'identità dei clienti (username + password + il codice di sicurezza):

https://discussions.apple.com/thread/2594628?start=0&tstart=0

Alcune banche che emettono richiedono codici di sicurezza per essere utilizzato con ogni transazione. In questi casi, l'iTunes Store ti chiederà il codice.

xixonia è corretto che i dati personali sono tokenizzati all'interno dell'infrastruttura di Apple. La maggior parte dei loro server non tocca mai dati sicuri, poiché tutte le credenziali e i dati finanziari vengono trasmessi crittografati a una rete interna di sistemi altamente protetti e monitorati.

Inoltre, i grandi rivenditori come Apple e Amazon utilizzano tecnologie di rilevamento e prevenzione delle frodi di terze parti che cercano modelli di abuso.

"È ammissibile per gli emittenti e le società che supportano l'emissione di servizi per memorizzare i dati sensibili di autenticazione se c'è un giustificazione aziendale ei dati vengono memorizzati in modo sicuro"

Più facile di acquisto e le operazioni successive sono NOT giustificazione commerciale.

Un caso di utilizzo pertinente sarebbero le transazioni batch. Durante l'acquisto la carta è autorizzata a confermare che la carta sia attiva e che i fondi siano disponibili. La banca emittente di solito incassa, ma non ritira, l'importo della transazione dal conto del titolare della carta. Durante una successiva operazione di acquisizione, il commerciante si stabilisce con il processore e i fondi vengono trasferiti. Ciò potrebbe accadere perché:

• La banca emittente lo richiede (ad esempio, autorizzazione vocale).
• La rete di pagamento lo richiede (ad esempio, American Express utilizzato per).
• Il commerciante non conosce l'intero importo della transazione (ad es. Suggerimento ristorante).
• Il commerciante non ha una connessione permanente alla rete di pagamento (ad esempio, operatore di telefonia mobile).

Andando questo percorso innesca MOLTO maggiore controllo sotto PCI DSS. I commercianti che utilizzano sistemi di pagamento di terze parti come Google Checkout e PayPal ricevono un trattamento minimo (SAQ A). I commercianti che memorizzano QUALSIASI dati dei titolari hanno il pesante fardello di SAQ D.

I controlli compensativi per lo svolgimento di codici di sicurezza & dati della striscia magnetica sono ancora più severe:

• dati devono essere memorizzati utilizzando le migliori pratiche (sale randomizzato + crittografia crittografata forte + chiavi riservate + controlli di accesso obbligatori + accesso controllato).
• I dati devono essere automaticamente rimossi dopo un periodo di prova impostato (in genere un giorno o due).
• I dati devono essere sovrascritti in modo sicuro e su un supporto che lo consenta (la maggior parte dei meccanismi di livellamento dell'usura delle unità a stato solido lo impediscono).