Avrei da sottoporre alla ML un quesito in merito alla compliance PCI dei POS, relativamente al mascheramento dei PAN come richiesto dalla PCI-DSS (requisito 3.3 nella versione 1.2 della PCI). Utilizzando spesso carte di credito per effettuare pagamenti presso POS di alberghi e/o ristoranti, ho potuto verificare come in alcuni casi (dipendenti dalla banca di appoggio) il foglietto emesso dal POS (sia quello trattenuto dall'esercente contenente la mia firma che quello che mi viene consegnato in copia) contengono tutti i numeri NON MASCHERATI del PAN e relativa data di scadenza della carta. In questo caso la non-compliance a chi e' attribuibile e a chi sarebbe piu' opportuno segnalare il problema ? Qualcuno sostiene che solo con numero di carta e data di scadenza non e' possibile procedere ad acquistare beni on-line : piu' volte mi e' capitato di vedere siti on-line dove sono sufficienti questi dati per considerare valida la transazione. In quali casi un merchant puo' non aderire ai requisiti della PCI ? Agli sviluppatori di portali di e-commerce non viene richiesto di aderire a delle specifiche tecniche prima di attivare un sistema di pagamento con carta di credito ?
Grazie per le vostre eventuali risposte RR Questo messaggio e i suoi allegati sono indirizzati esclusivamente alle persone indicate. La diffusione, copia o qualsiasi altra azione derivante dalla conoscenza di queste informazioni sono rigorosamente vietate. Qualora abbiate ricevuto questo documento per errore siete cortesemente pregati di darne immediata comunicazione al mittente e di provvedere alla sua distruzione, Grazie. This e-mail and any attachments is confidential and may contain privileged information intended for the addressee(s) only. Dissemination, copying, printing or use by anybody else is unauthorised. If you are not the intended recipient, please delete this message and any attachments and advise the sender by return e-mail, Thanks.
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
