W jaki sposób Appstore może przeglądać to ograniczenie? Czy dane CVV2 mogą być przechowywane lokalnie na urządzeniu z systemem iOS i zachowywać zgodność ze standardem PCI? Szyfruj dane CVV2 lokalnie i tylko użytkownik ma klucz? Podczas gdy pozostałe dane karty kredytowej, takie jak PAN, są przechowywane po stronie serwera?Dlaczego Appstore przechowuje CVV2?
Krótka odpowiedź:
Twój bank wydający nie wymagają sprawdzania poprawności kodu zabezpieczającego przy każdej transakcji.
długa odpowiedź:
kody zabezpieczeń kart z paskiem magnetycznym i dane nie mogą być przechowywane przez PCI DSS. Ponadto, VISA (i ewentualnie innych sieci) zabraniamy ich składu:
http://usa.visa.com/merchants/risk_management/cisp_payment_applications.html
kupcy przechowywania tych danych może być wybity z ogromnych grzywny i spadły procesorów. Stało się to z moim klientem.
System e-commerce firmy Apple prosi o kod zabezpieczający, gdy konto jest tworzone lub gdy nowe urządzenie uzyskuje dostęp do istniejącego konta. W obu przypadkach, ich platforma inicjuje transakcję zero dolarów z siecią przetwarzania w celu zweryfikowania tożsamości klientów (login + hasło + kod zabezpieczający):
https://discussions.apple.com/thread/2594628?start=0&tstart=0
Niektóre banki wydające wymaga kody bezpieczeństwa należy stosować każda transakcja. W takich przypadkach sklep iTunes poprosi o kod.
xixonia ma rację, że dane osobowe są przetwarzane w token infrastruktury Apple. Większość serwerów nigdy nie korzysta z bezpiecznych danych, ponieważ wszystkie dane uwierzytelniające i dane finansowe są przekazywane zaszyfrowane do wewnętrznej sieci wysoce chronionych i monitorowanych systemów.
Ponadto, duże sklepy detaliczne, takie jak Apple i Amazon, wykorzystują zewnętrzne technologie wykrywania i zapobiegania oszustwom, które wyszukują wzorce nadużyć.
„Dopuszczalne jest dla emitentów i firm, które obsługują wydawania usługi do przechowywania poufnych danych uwierzytelniających czy istnieje firma uzasadnienie i dane są przechowywane bezpiecznie”
Łatwiejszy zakup i późniejsze transakcje są NOT uzasadnienie biznesowe.
Stosownym przypadkiem użycia byłyby transakcje wsadowe. Podczas zakupu karta jest upoważniona do potwierdzenia, że karta jest aktywna, a środki są dostępne. Bank emitujący zazwyczaj obciąża, ale nie wypłaca, kwotę transakcji z rachunku posiadacza karty. Podczas następnej transakcji przechwytywania akceptant rozlicza się z procesorem, a środki są przekazywane. Może się tak zdarzyć, ponieważ:
Idąc tą trasą wyzwala się DUŻA wyższa kontrola w ramach PCI DSS. Kupcy, którzy korzystają z systemów płatności innych firm, takich jak Google Checkout i PayPal, otrzymują minimalne traktowanie (SAQ A). Kupcy, którzy przechowują ANY dane posiadacza karty mają ciężkie brzemię SAQ D.
kompensacyjnych kontroli do przechowywania danych kodów zabezpieczających & pasków magnetycznych są jeszcze bardziej rygorystyczne:
Dziękujemy. Przetwarzanie wsadowe nie wymaga ponownego wprowadzania danych CVVS. – ngzhongcai
Ale nadal jestem zdziwiony, w jaki sposób mogą skorygować ograniczenia PCI związane z urządzeniami mobilnymi. – ngzhongcai
Jestem zdezorientowany. Od kiedy Apple zaczął gromadzić informacje o kartach kredytowych na urządzeniach z systemem iOS? –
Może powinienem zmienić moje pytanie. Ale zauważ, że przy zakupie jakiejś aplikacji Appstore nie wymaga ponownego wprowadzenia danych karty kredytowej? Wystarczy hasło do konta iTunes. Jak to możliwe bez przechowywania danych karty kredytowej? – ngzhongcai