W dniu 04-02-2012 22:07, Krzysztof Halasa pisze:
> Kajetan Malkontowicz <k...@m...org> writes:
>
>> Sam fakt przechowywanie CVV klientów jest niezgodne z PCI-DSS.
>
> A po co mieliby to robić? Przecież wystarczy pojedyncze sprawdzenie
> CVV2, na początku. Jeśli w ogóle jest potrzebne (abonament można pewnie
> anulować?).
Mówimy o dwóch różnych rzeczach: zgodzie na obciążanie karty oraz o
przechowywaniu danych wrażliwych jak CVV/CVV2.

To pierwsze jest dość powszechnie stosowane, ale najczęściej w formie
zlecenia stałego. Konieczne jest wystawienie upoważnienia firmie
obciążającej kartę które trafia do Banku (Issuera) i na tej podstawie
karta jest obciążana. Można to w każdej chwili odwołać w banku.
Jednocześnie przy takiej formie nigdy nie podaje się kodu
autoryzacyjnego. W standardowym formularzu jest tylko rodzaj, numer i
data ważności karty oraz podpis właściciela-zleceniodawcy i konkrety
tytuł opłaty, np. opłata abonamentowa itd. Stąd w ogóle nie do
pomyślenia jest że ktoś w ten sposób umożliwia dowolne zakupy.

To drugie ma się nijak do pierwszego i polega na każdorazowym
autoryzowaniu obciążenia poprzez kod autoryzacyjny (CVV/CVV2)
przechowywany w bazie danych podmiotu na rzecz którego płatność ma
nastąpić (Merchanta) i w takiej formie jest niedopuszczalne z punktu
widzenia PCI-DSS i wyraźnie zabronione. Konkretnie podpada to pod PCI
PA-DSS (Payment Application).

--
pozdrowienia
Kajetan
http://www.psyniczyje.pl/ - przygarnij, choćby wirtualnie, psa