Mostrando 5 respuestas a los debates
  • Autor
    Entradas
    • #44426
      Jorge
      Participante

      Buenas tardes:
      Dentro de nuestra organización tenemos un proceso para la validación de transacciones con tarjetas de pago en donde comprobamos si la tarjeta es o no fraudulenta. Ese listado nos lo provee nuestro centro autorizador de forma periódica.
      La pregunta es: ¿Este listado (que no es más que un fichero) requiere ser almacenado de acuerdo con los controles de PCI DSS?

    • #44519
      David Acosta
      Participante

      Hola Jorge:
      Según el PCI SSC lo describe en su página de FAQ (https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Does-PCI-DSS-apply-to-hot-cards-fraudulent-or-invalid-card-numbers-or-cancelled-cards) si las tarjetas que aparecen en el listado provisto por tu centro autorizador son tarjetas inactivas o deshabilitadas, no hay ningún riesgo y no es necesario aplicar los controles de PCI DSS sobre dicha lista.
      Sin embargo, si se trata de una «lista gris» (esto es: una lista de tarjetas potencialmente fraudulentas pero aún activas) se deben aplicar los controles del estándar como si de una tarjeta normal se tratase. Igual se debe hacer si alguna de las tarjetas de esa «lista negra» vuelve a activarse. Por ello, es muy importante que valides de forma periódica con quien te provee esos listados para garantizar el estado real de las tarjetas en un momento dado para que con base en ello se defina si los controles se deben aplicar o no.
      Saludos,
      David

    • #44520
      jesusdml
      Participante

      Hola,

      En ese sentido, a un cliente le pasan una lista negra y otra gris, pero en formato sha. Es decir, no le pasan los PAN, sino el sha de los mismo. En una consulta a visa, nos dijeron que en principio no aplicaría PCI DSS.

      Un Saludo y enhorabuena por la web.

    • #44521
      soymicmic
      Participante

      Hola,
      si tuvieramos una tarjeta a la que no hemos aplicado los controles PCI por estar en lista negra y también tenemos los movientos realizados hasta la fecha en la que pasó a la lista negra…. en caso de reactivarse por algún motivo ¿deberíamos aplicar los controles a aquellos movimientos o solo a los que se produzcan con la nueva tarjeta?

    • #44522
      David Acosta
      Participante

      Hola:
      Si entiendo el escenario que planteas sería así:
      APLICA PCI DSS: PAN no está en lista negra
      NO APLICA PCI DSS: PAN esta en lista negra
      Ahora, el PAN se vuelve a activar (ha salido de la lista negra). En el momento en el que recibes la notificación ya sea del centro autorizador o del proveedor de los listados de tarjetas fraudulentas, se deben re-activar los controles para ese PAN (req. 3.4).
      Tengamos en cuenta que el estándar PCI DSS está orientado a la protección del PAN, por lo que los movimientos realizados con esa tarjeta (supongo que te refieres a los registros de las transacciones) no tienen nada que ver con este estándar y serían cubiertos por la Política propia de la organización, obviamente siempre y cuando no tengan referencia al PAN.
      ¿Te he entendido bien? Si no, estaré pendiente a tu respuesta.

    • #44523
      soymicmic
      Participante

      Si, perfectamente David… el problema es que los registros de las transacciones sí contienen referencias al PAN con el que se realizó el movimiento. A la hora de migrar la información (solucion tokenizacion) podríamos dejar fuera estos movimientos evitando todo el historial, pero si la tarjeta se reactiva (aunque tenga PSN nuevo) entonces volvemos a tener que migrar todos sus movimientos.

      Gracias por la respuesta!

Mostrando 5 respuestas a los debates
  • Debes estar registrado para responder a este debate.