我们能否在PCI合规框架下打印持卡人数据并保持合规？

Question

我有一个关于PCI遵从性的问题。在我们公司似乎有一个有效的业务需要保存一些持卡人的资料，为不成功的交易。一个例子是客户预订了酒店，但是付款失败了，那么支持代理可以使用持卡人数据重试付款，这是我们服务的一部分。但我们不想以数字方式存储持卡人的任何数据。在这种情况下，我们希望打印持卡人的数据供以后使用，并在3天内安全销毁纸张。在他们的系统上将不会以数字方式存储卡片数据。使我们更容易遵守PCI的要求。

上述规定是否符合PCI规定？我相信只要实体安全已经到位，并且只有有合法业务需要的用户才能访问，您就能做到这一点。为什么要这么做呢？

Answer 1

只有当您在其他领域符合要求时，才允许这样做。

PCI不仅包括数据的数字存储，还包括数据的传输、物理存储和销毁。

1. 代理人如何获得持卡人的资料？
2. 数据是如何传送到打印机的？
3. 三天的数据是如何和在哪里存储的？
4. 这些数据是如何被销毁的？

Answer 2

如果您打印完整的持卡人数据，您必须遵守PCI为这些打印，包括实物保护。来自PCI遵从性指南常见问题：

PCI要求3.3规定“显示时屏蔽PAN (前六位和最后四位是要显示的最大数字数)。”虽然这项规定并不禁止在收据上打印完整的卡号或到期日(无论是商业副本还是消费者副本)，但请注意，PCI DSS并不凌驾于任何其他法律之上，这些法律规定了可以在收据上打印的内容(如“美国公平和准确信用交易法”(FACTA)或任何其他适用法律)。见PCI DSS要求3.3下的斜体说明：“注意:这一要求不适用于雇员和其他有特殊需要的当事方，也不适用于对显示持卡人数据的更严格要求(例如销售点收据)。商家储存的任何纸张收据必须遵守PCI，特别是关于物理安全的第9项要求。

请记住，您几乎从来不允许存储CVV，所以甚至不要考虑打印。

如果我是你，我会担心印刷数据的正确销毁。很难做正确的事情，而且在很长一段时间内也很难做正确的事情。

一个更技术性的解决方案是使用公钥对数据进行加密，并在一个单独的系统上托管这对私钥的一半(如果可能的话，使用空隙)。加密的好处在于，如果有人掌握了加密，就意味着您的数据已经被“分解”了。是的，这会让你在开发成本方面付出更多的代价。不过，你可能会在一年的印刷和碎钞中赚回来。