2

私が働いている会社は、フォームのスキャン画像を受け取り、そこからデータを収集します (XML ファイルに入れます)。クレジット カード番号はフォームに書き込まれますが、そのデータを収集したり、支払いを処理したりすることはありません。

このようなシナリオでは、PCI 標準は適用されますか? 番号を含む実際のデータ ファイルはありませんが、画像を見れば誰でも簡単にクレジット カード番号を取得できます。カード所有者名が表示されます。セキュリティ コードはありません。有効期限が含まれているかどうかはわかりません。

私たちはサービス プロバイダーの定義に当てはまると思います。私には、SAQ-D が適用される可能性が最も高いように思えました。問題の環境は、SAQ-D のすべての要件を満たしていません。

私が読んだものからの私の意見では、要件は適用されますが、適用されなかったとしても、それらに従おうとしないのはなぜですか? 私より上の人たちは、定期的に画像を削除している限り問題ないと思っています。

このタイプのシナリオで標準に従うことに賛成または反対する、入力、リンク、PCI-DSSドキュメントの関連セクションなどに感謝します。

4

1 に答える 1

5

PCI 規格は、そのマシンに格納されているかどうかに関係なく、伝送経路に沿ったすべてのマシンに適用されます。私は、データはテキスト形式ではありませんが、まだ利用可能であり (OCR を考えてください)、他の形式のデータとして扱われるべきであると考えています。

それはさておき、定期的に画像を削除する限り、これは確かにあなたを困らせます. 繰り返しになりますが、問題はデータが保存されているかどうかではなく、そのデータを取得できるかどうかです。データを保存していないシステムからデータを取得できます。

cshneid が述べているように、「資格のある弁護士」に依頼するのが最善です。ただし、経験則として、疑いがある場合は準拠していません。

于 2011-12-24T04:09:38.677 に答える