为什么应用商店可以存储CVV2？

Question

Appstore如何绕过这一限制？是否可以将CVV2详细信息保存在本地iOS设备上，并且仍然符合PCI合规性？在本地加密CVV2详细信息，并且只有用户拥有密钥？而像PAN这样的信用卡详细信息则存储在服务器端？

Answer 1

简短的回答：

您的开证行不需要对每笔交易进行安全代码验证。

长长的答案：

PCI DSS不允许存储卡安全代码和磁条数据。此外，VISA (可能还有其他网络)严格禁止它们的存储：

http://usa.visa.com/merchants/risk_management/cisp_payment_applications.html

存储这些数据的商家可能会被高额罚款，并被处理器丢弃。这件事发生在我的一个客户身上。

苹果的电子商务系统在创建账户或新设备访问现有账户时都会要求提供安全代码。在这两种情况下，他们的平台都会启动与处理网络的零美元交易，以验证客户的身份(用户名+密码+安全代码)：

https://discussions.apple.com/thread/2594628?start=0&tstart=0

有些开证行要求在每笔交易中使用安全代码。在这些情况下，iTunes商店将提示您输入代码。

xixonia是正确的，即个人数据在苹果的基础设施中被标记化。他们的大多数服务器从不接触安全数据，因为所有凭据和财务数据都是加密传输到高度保护和监控的系统的内部网络。

此外，像苹果和亚马逊这样的大型零售商使用第三方欺诈检测和预防技术来寻找滥用模式。

“允许发行人和支持发布服务的公司存储敏感的身份验证数据，前提是有商业理由并且数据存储安全。”

更容易的购买和后续交易是，而不是业务理由。

相关的用例应该是批处理事务。在购买期间，卡被授权确认卡是活动的，并且资金可用。发卡银行通常会从持卡人的账户中提取交易金额，但不会提取。在随后的捕获交易期间，商家与处理器进行结算，资金被转移。这可能是因为：

• 开证银行需要它(例如，voice authorization).
• The payment network需要它(例如，美国运通曾经需要它)。
• 商家不知道全部交易金额(例如，餐厅小费)。
• 商家没有与支付网络的持久连接(例如，移动运营商)。

走这条路会在PCI下触发 route 更高的审查。使用Google checkout和PayPal等第三方结账系统的商家得到最低限度的待遇(SAQ )。存储任何持卡人数据的商家都有SAQ的沉重负担。

用于保存安全代码和磁条数据的补偿控制更加严格：

必须使用最佳实践存储

• 数据(随机盐+强加密密码+受限密钥+强制访问控制+审核的access).
• Data必须在设定的宽限期(通常为一天或两天)后自动删除。必须安全地覆盖
• 数据，并将其放在允许的介质上(大多数固态驱动器的损耗平衡机制会阻止这一点)。