我工作的公司将收到表格的扫描图像,我们将从中收集数据(放入 XML 文件中)信用卡号将被写入表格中,但我们不会收集或处理该数据付款。
在这种情况下,PCI标准是否适用?没有包含该号码的实际数据文件,但任何查看图像的人都可以轻松获得信用卡号码。将显示持卡人姓名,无安全码。不确定是否会包含到期日期。
我认为我们属于服务提供商的定义,对我来说 SAQ-D 似乎最有可能适用。相关环境无法满足 SAQ-D 中的所有要求。
根据我读到的内容,我的观点是这些要求适用,但即使不适用,我们为什么不尝试遵循它们呢?我上面的人认为只要我们定期删除图像就可以了。
对于任何支持或反对在此类场景中遵循标准的意见、链接、PCI-DSS 文档的相关部分等,我将不胜感激。
最佳答案
PCI标准适用于传输路径上的任何机器,无论它是否存储在该机器上。我相信数据虽然不是文本形式,但仍然可用(想想 OCR),因此应该像任何其他形式的数据一样对待。
除此之外,就定期删除图像而言,这肯定会给您带来麻烦。同样,问题不在于是否存储,而在于是否可以检索该数据。可以从甚至不存储数据的系统中检索数据。
正如 cshneid 所说,您最好咨询“合格的律师”。但是,根据经验:如果有任何疑问,则说明您不合规。
关于pci-dss - 如果您的图像上有卡号但实际上并未收集数据,PCI 要求是否适用?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8622585/