存储用于企业支付的信用卡号码

Question

有一项业务要求代表企业中的最终用户为下面的用例存储信用卡号码。

目前，这些用户将信用卡号码存储在不安全的位置，如Microsoft Sticky Notes、Microsoft Outlook任务等。

有些企业政策不允许存储信用卡号码，包括持有印本。

为了在下面的用例中支持组织中的最终用户，在不影响PCI遵从性的情况下安全地存储信用卡有哪些选择？

例如，是否有符合PCI的服务能够存储信用卡？额外的功能，如自动完成支付页面将是一个额外的奖励。

一个早期邮政建议使用在线密码管理器，但是这些服务不符合PCI。

第一用例

作为一名管理人员的个人管理员，我需要预订场地、航班、住宿和活动。这些服务要求我用信用卡付款。由于我是几位高管的个人管理员，我也是他们信用卡的保管人。我目前使用Microsoft Sticky Notes。

第二用例

作为组织内的一名企业主，我得到了一张公司信用卡。我使用信用卡在线支付云服务。目前，我将信用卡号存储在保存在OneDrive中的Microsoft文档中。这是为了使我能够访问卡的细节，如果我没有访问物理卡。

第三用例

我是一名高级经理。我组织支付商业服务使用共享的组织信用卡。信用卡的详细信息存储在Microsoft任务中。这使我能够购买服务，一旦批准已确认。我没有个人信用卡。

Answer 1

在我的PCI工作中，我没有处理过这个问题，但我的理解是，这取决于发行者、品牌和企业背景。

Visa和MC在过去曾考虑将PCI应用于企业级别的所有PAN，将其作为其业务的一部分，包括已发行的公司卡。美国运通有时没有。

我建议与您的律师和您的发行人接触，以了解您的签发协议，以及他们的实践意见是什么。

无论PCI是否适用，我还建议与您的安全团队联系，安排一种解决方案，允许在电子邮件、任务和日历等通用企业数据系统中隔离存储在引用之外的PAN，以满足您仔细、清楚和有用地概述的用例。

这可能是一种公司级的秘密管理解决方案，它不专门适用于信用卡，但它确实支持隔离敏感信息的存储和传输，例如，电子邮件/任务/日历可以说“为此使用卡#25”，而不是“使用PAN 5555.有效期xx/yy进行此操作”。

Answer 2

如果您是在谈论您自己的公司所有的信用卡，那么这与PCI的遵从性毫无关系。没有人在乎你如何储存你自己的组织卡。见鬼，你可以把他们的照片保存在Facebook相册里供全世界看，没有人会要求你停止或罚款你(尽管你的银行可能会否认你的责任，如果你违反了他们的服务条款，就会强迫你付账)。

PCI遵从性是关于存储其他人的信用卡，这样您就可以为他们向您请求的服务收费。有许多服务为此类目的提供符合PCI的信用卡存储(Stripe只是一个例子)，但这些服务都不适合您，因为所有这些服务都显式地隐藏了信用卡详细信息(这毕竟是关键)。本质上，与CC处理器的交换如下所示:您想为Bob想要购买的东西开单，然后CC处理器直接与Bob通话以获得信用卡号码，然后告诉处理器要付多少钱。你从来没有真正的卡片自己和处理器永远不会与你分享的细节。

这显然和你想要的完全不同。这些都是你自己的信用卡，所以没有必要对你自己隐藏这些细节--你只是想把它们安全地储存起来。这里不是产品推荐的地方，但我认为您无论如何都有自己的答案:密码管理之类的东西是一个非常合理的选择，因为您不必担心PCI是否符合您自己的信用卡。事实上，PCI遵从性在这里甚至没有意义。

Answer 3

其他的评论是对的。从技术上讲，这就是所谓的“发行人风险”，这样你就可以查看与发卡人的合同，或者询问他们。重要的考虑是，如果这些卡的细节被泄露和欺诈性地使用，技术上这将是你的责任，没有采取适当的安全措施。因此，从信息安全的角度，评估风险，然后采取适当的安全性(而忽略PCI的遵从性)。在我咨询过的许多地方，密码管理器是正确的答案。

此外，在PCI网站上还有一个非常没有帮助的常见问题：https://pcissc.secure.force.com/faq/articles/Frequently_问_Question/If-a-merchant-or-service-provider-has-internal-corporate-credit-cards-used-by-employees-for-company-purchases-like-travel-or-office-supplies-are-these-corporate-cards-considered-in-scope-for-PCI-DSS