关于在PW重置[PCI]上保存信用卡信息的问题

Question

我在一家大型电子商务零售机构工作。我们允许我们的客户存储CC信息以便于结帐，就像许多零售商一样.

目前，我们删除所有存储的CC信息，在密码重置为个人。有一个要求，我们的业务伙伴，以改变这一点，并保留CC信息，通过-重设。为了澄清，当PW被重置时，一封电子邮件被发送到用户的主电子邮件地址，其中有一个链接来重置密码。

保留它的理由是，这是一个不便的今天，我们看到，由于消费者没有重新输入他们的CC信息，特别是我们的联合品牌和商店卡的销售损失。

如果有恶意用户访问我们网站的凭据，该用户将直接作为目标登录，而不是重置密码。如果用户能够访问文件中的电子邮件地址来完成密码重置功能，那么我们假设确实是那个人，而不是有人恶意地试图重置密码，因此请求保留CC信息。

我想知道，这是否有任何PCI的影响，可能使我们陷入困境？

我理解理由，但想确保我们做的是对的。

Answer 1

我想知道，这是否有任何PCI的影响，可能使我们陷入困境？

没有你还没处理过的。

PCI非常关心如何存储PAN (主要帐号)和相关信息。如果您正在存储信用卡，则需要对它们进行安全加密，存储在其上的机器需要某些安全措施，使用它们传输的网络需要某些安全措施.当您存储PAN时，您正在注册做大量的安全和审计工作。

不管你是把它们储存一天、一年或任何一段时间，这都是真的。如果你每三个月删除一次用户的PAN数据，当他们更改密码时，你的义务和你没有删除它的义务没有什么不同。

(令牌化-可能是由处理器提供的-可以减少您必须保护的范围，因为您不是亲自存储PAN。然而，这对您的关注没有任何影响；在密码重置之后，非删除的令牌仍然可用，就像未删除的PAN一样)。

就我个人而言，我不知道我曾经使用过一个商人，他需要在改变后重新进入，尽管我已经看到了重新进入CVV。您可能会找到替代方案(重新输入CVV；回答安全问题；.)这是在密码更改后格外小心的较少的侵扰性方法。

(要明确的是，要求CVV的目的是在信用卡验证期间使用它作为额外的验证，而不是将其与以前存储的值进行比较-- DSS不允许您在事务之间存储CVV。)