2

我工作的公司将接收表格的扫描图像,我们将从这些表格中收集数据(放入 XML 文件) 信用卡号码将被写入表格,但我们不会收集该数据或处理付款。

在这种情况下,是否适用 PCI 标准?没有包含该号码的实际数据文件,但任何查看图像的人都可以轻松获得信用卡号码。持卡人姓名将出现,没有安全代码。不知道是否包括到期日。

我认为我们属于服务提供商的定义,对我来说,SAQ-D 似乎最有可能适用。所讨论的环境不能满足 SAQ-D 中的所有要求。

从我所读到的内容中,我的观点是这些要求适用,但即使它们不适用,我们为什么不尝试遵循它们呢?我上面的人认为只要我们定期删除图像就可以了。

我将不胜感激任何输入、链接、PCI-DSS 文档的相关部分等,无论是支持还是反对在这种情况下遵循标准。

4

1 回答 1

5

PCI 标准适用于传输路径上的任何机器,无论它是否存储在该机器上。我相信数据虽然不是文本形式,但仍然可用(想想 OCR),因此应该被视为任何其他形式的数据。

除此之外,就定期删除图像而言,这肯定会给您带来麻烦。同样,关注的不是它是否被存储,关注的是数据是否可以被检索。可以从甚至不存储数据的系统中检索数据。

正如 cshneid 所说,您最好询问“合格的律师”。但是,根据经验法则:如果有任何疑问,您就是不合规的。

于 2011-12-24T04:09:38.677 回答