最终-Mile船运公司想要客户电子邮件地址- PCI符合性问题？(美国)

Question

我公司把非常大、很重的产品运往日常消费者的家中(想想大的家居装修材料)。目前，我们提供客户的姓名，运输地址，和电话号码到工厂。然后，工厂将这些信息提供给一家货运公司，后者将提供给最后一英里的送货公司。

最后一英里快递公司希望我们提供客户的电子邮件地址，以便他们可以改善送货时间框架。比起打电话，顾客更有可能回复电子邮件。显然，短信也不够有效，因为仍然有固定线路在发挥作用。

我们只运送到美国大陆，所以我们不会立即落入GDPR的保护伞之下，但我担心的是，将这个电子邮件地址提供给我们生产和交付管道中的其他业务将产生PCI遵从性的后果。

如果我能在我们的条款和条件中添加一个免责声明，这将是很简单的，因为我们会将客户的电子邮件地址提供给其他实体，以便进行运输和交付，但是这些信息不会被用于营销目的，但我恐怕没有考虑其中的一些含义。

有人能提供任何关于我应该如何处理这个问题的见解吗？

Answer 1

我担心的是，将此电子邮件地址提供给我们的生产和交付管道中的其他业务将产生PCI遵从性的后果。

不，PCI根本不关心电子邮件地址。在DSS中提到的唯一一次是声明您不能通过电子邮件发送未加密的PAN。

有人能提供任何关于我应该如何处理这个问题的见解吗？

如果公司有合法的业务需求--如果与电话相关的延迟是可信的--而且你与他们签订的合同规定，他们只会将电子邮件用于运输目的，那么这是一件合理的事情。如果你在这两点上都不信任他们，那么你和你的商业伙伴之间就会有一个问题关系。

你可能还想得到一个专家意见(读律师)关于PII的法律和他们对信息共享的影响。这可能归结为确保有限的使用PII是合同规定，但YLMMV (您的律师的里程可能有所不同)。

Answer 2

PCI遵从性是关于支付数据。电子邮件地址本身并不是支付数据，所以在PCI遵从性方面没有什么好担心的。

一般来说，电子邮件地址并不比“客户姓名、发货地址和电话号码”更重要。因此，如果这是被允许发送到外部各方，那么电子邮件也应该是好的。我总是假设您的客户知道并同意您将这些数据转移到另一家公司。虽然对于航运来说，人们通常会这样想。如果没有姓名或地址，一艘船将如何装运。

为了安全起见，去找被批准的人，把当前的数据发送给另一家公司(也许是你的公司律师？)并让他们清除额外的数据以及。你需要一个真正的人，可以通过签约来承担真正的责任。互联网上的人说“还不够。”