Nivel PCI para almacenar tarjetas de crédito

Question

Me preguntaba cuál sería el nivel de certificación PCI si almacenara números cifrados de tarjetas de crédito para facturación recurrente.

Planeo tener menos de 20,000 transacciones anualmente, sin embargo, con el almacenamiento de los números de la tarjeta de crédito no estoy seguro.

Answer 1

Si realmente (realmente) necesita almacenar números de tarjeta, entonces cae en el nivel más estricto de cumplimiento PCI. Eso requiere auditorías anuales en el sitio, escaneos de red trimestrales y (como ya sabrá) será muy costoso. Esto es independientemente del número de transacciones. (Los primeros borradores de PCI daban diferentes niveles dependiendo de la cantidad de tarjetas procesadas. Eso ya no es el caso)

Si puede usar un tercero para almacenar/procesar la facturación recurrente, entonces se cae a un nivel inferior que solo requiere que complete un cuestionario de autoevaluación (SAQ) anualmente. La mayoría de los proveedores de servicios de pago podrán ayudarlo con la facturación recurrente si usted habla sobre sus requisitos con ellos. La facturación recurrente (como usted sabe) tiene complicaciones adicionales en que las tarjetas pueden caducar/suspenderse/reemplazarse a mitad del ciclo

Si tiene dudas, entonces sería el mejor momento para comenzar a hablar con QSA (Seguridad calificada Asesor). Si habla de su situación por teléfono, podrá aconsejarle exactamente dónde se encuentra. En última instancia, a menos que vaya con un proveedor de servicios de pago externo, necesitará un QSA para ayudar a que su organización cumpla con PCI.