Este debate contiene 5 respuestas, tiene 2 mensajes y lo actualizó Avatar quesopci hace 1 mes, 3 semanas.

  • Autor
    Publicaciones
  • #50907
    Avatar
    quesopci
    Participante

    hola, entiendo que la norma PCI no indica nada con respecto a crear un usuario en su pagina para poder pagar con tarjeta. ¿Se podria considerar una mejor practica implementarlo? ¿Estaria alineada con ley de proteccion de datos?
    Me queda la duda si puedo comprar sin crear usuario, ya que en caso de ser un fraude ¿como encontraría a la persona? ¿quien seria el responsable? En ese caso ¿que medidas deberia tomar o que datos deberia solicitar?

    Gracias.

  • #50933
    Avatar
    quesopci
    Participante

    hola David,aun me perdura la duda. Si compro con un usuario invitado sin requerir mis datos ¿en que no cumpliria pci?la normativa hace referencia a la empresa y los accesos de los usuarios de los mismos o sea empleados.
    ¿que pasa si el usuario final no se autentica? O sea coloca los datos personales,direccion y telefono para que le llegue el producto y paga con tarjeta (esto iria por los canales de seguridad de pci). ¿se podra autenticar la identidad cuando lleven el paquete? o se puede establecer un marco legal para que cada vez que se realice una compra con usuario invitado, el mismo se haga cargo del riesgo
    ¿riesgos? el principal seria Fraude.

    Gracias.

  • #50965
    Avatar
    Héctor García
    Participante

    Buen día
    Veo que la pregunta va dirigida a David, sin embargo, me voy a atrever a responder.
    Como mencionas en el primer comentario, la autenticación/registro de clientes queda fuera del alcance de PCI.
    Recordemos que PCI DSS se enfoca en proteger los datos de tarjeta del cliente y en este caso, estamos hablando de otro tipo de riesgos que van hacía fraude o pérdidas para la organización.
    Hay varios servicios de prevención de fraude en línea que precisamente analizan el comportamiento y datos del usuario como puede ser más no limitado a: IP, nombre, tarjeta, dirección y entre muchos otros metadatos que se pueden recolectar de la transacción y pueden ayudarte a reducir el riesgo de fraude o pérdidas para el negocio.

    Espero poder haberte ayudado.

  • #51026
    Avatar
    quesopci
    Participante

    Hola Hector, como estas?
    Pero cuando ingresa a la aplicacion de pago ¿deberia cumplir con los requisito 7 y 8 ya que se encuentra dentro del entorno de PCI y estaria alcanzado?

    Gracias.

  • #51033
    Avatar
    Héctor García
    Participante

    Buen día
    No me queda claro si te refieres al cliente, a un usuario o a un administrador, ya que cada uno de ellos tiene requisitos distintos.
    Por lo que entiendo y si no estoy mal, más que ver los requisitos aplicables de todo el estándar, creería que eres elegible para llenado de un SAQ tipo A.

    Puedes entrar a la librería de documentos de council, filtrar por SAQ y ver la guía para cada SAQ, con esto, podrás identificar cuál es el más apropiado para tu tipo de negocio y con cual guiarte. Esos serían los requisitos mínimos con los que deben de cumplir.

    https://www.pcisecuritystandards.org/document_library

    Saludos

  • #51051
    Avatar
    quesopci
    Participante

    Hola Hector como estas?

    Me refiero a un cliente, pero el cliente al ingresar al CDE para colocar los datos ¿se convierte en un usuario de aplicacion que debe cumplir con los requisitos de autenticacion?

    Gracias.

Debes estar registrado para responder a este debate.