Avrei da sottoporre alla ML un quesito in merito alla compliance PCI dei POS, 
relativamente al mascheramento dei PAN come richiesto dalla PCI-DSS (requisito 
3.3 nella versione 1.2 della PCI).
Utilizzando spesso carte di credito per effettuare pagamenti presso POS di 
alberghi e/o ristoranti, ho potuto verificare come in alcuni casi (dipendenti 
dalla banca di appoggio) il foglietto emesso dal POS (sia quello trattenuto 
dall'esercente contenente la mia firma che quello che mi viene consegnato in 
copia) contengono tutti i numeri NON MASCHERATI del PAN e relativa data di 
scadenza della carta.
In questo caso la non-compliance a chi e' attribuibile e a chi sarebbe piu' 
opportuno segnalare il problema ?
Qualcuno sostiene che solo con numero di carta e data di scadenza non e' 
possibile procedere ad acquistare beni on-line : piu' volte mi e' capitato di 
vedere siti on-line dove sono sufficienti questi dati per considerare valida la 
transazione.
In quali casi un merchant puo' non aderire ai requisiti della PCI ? Agli 
sviluppatori di portali di e-commerce non viene richiesto di aderire a delle 
specifiche tecniche prima di attivare un sistema di pagamento con carta di 
credito ?

Grazie per le vostre eventuali risposte

RR



Questo messaggio e i suoi allegati sono indirizzati esclusivamente alle persone 
indicate. La diffusione, copia o qualsiasi altra azione derivante dalla 
conoscenza di queste informazioni sono rigorosamente vietate. Qualora abbiate 
ricevuto questo documento per errore siete cortesemente pregati di darne 
immediata comunicazione al mittente e di provvedere alla sua distruzione, 
Grazie.

This e-mail and any attachments is confidential and may contain privileged 
information intended for the addressee(s) only. Dissemination, copying, 
printing or use by anybody else is unauthorised. If you are not the intended 
recipient, please delete this message and any attachments and advise the sender 
by return e-mail, Thanks.

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Rispondere a