呼叫记录PCI-DSS问题

Question

对于非自动化的支付卡输入系统，如果呼叫者通过电话向呼叫中心的员工提供电话卡的详细信息，并向来电者确认号码，这是否意味着该组织不符合PCI DSS？

自动支付卡输入系统，通常包括通话记录和掩蔽位的来电者说的号码。假设这符合PCI的要求，攻击者是否可以窃取支付卡数据？

Answer 1

读者可能希望首先看到这个问题，因为它是一个简单的演示文稿。或者转到源，即PCI SSC 信息补充:保护电话支付卡数据。

对于非自动化的支付卡输入系统，如果呼叫者通过电话向呼叫中心的员工提供电话卡的详细信息，并向来电者确认号码，这是否意味着该组织不符合PCI DSS？

如果记录了调用，以下是符合PCI DSS的要求：

• 录音必须“使用强加密加密，或以其他方式呈现不可用”。所以卡片号--泛--可以被记录下来，但是记录必须被加密。
• 然而，调用的某些部分可能不会被记录：“禁止使用任何形式的数字音频记录(使用WAV、MP3等格式)来存储CAV2、CVC2、CVV2或CID代码。”

如果没有记录呼叫，那么PCI DSS就不适用(对于呼叫-如果人工呼叫中心员工正在将他们听到的卡号键入到计算机中，那么DSS就开始在那里应用)。

自动支付卡输入系统，通常包括通话记录和掩蔽位的来电者说的号码。假设这符合PCI的要求，攻击者是否可以窃取支付卡数据？

如果存储记录的PAN部分是加密的，那么攻击者将不得不破坏该加密控制。这当然不是不可能的，但它代表了一个必须克服的重大障碍。

如果录音的PAN部分被蒙住了，那可能是不可能妥协的。

如果您符合PCI，CVV不在录音中，这是不可能妥协的。

对于所有这些场景，呼叫中心员工将将卡片数据输入系统进行处理。在其他条件相同的情况下，攻击者将把注意力集中在链的处理端，而不是呼叫端--语音是模拟的和混乱的，但是处理系统是多汁的和数字的。其他的人就在那里.