¿Cómo se pone en marcha la función de aplicación para sortear esta restricción? ¿Se pueden guardar los detalles de CVV2 localmente en un dispositivo con iOS y aún estar en conformidad con PCI? Cifre los detalles del CVV2 localmente, y solo el usuario tiene la clave? ¿Mientras que el resto de los detalles de la tarjeta de crédito como PAN se almacenan en el lado del servidor?¿Cómo es que Appstore puede almacenar CVV2?
Respuesta corta:
su banco emisor no requiere la validación del código de seguridad con cada transacción.
respuesta larga:
códigos de seguridad de tarjeta de banda magnética y los datos no están permitidos para ser almacenados por el PCI DSS. Por otra parte, VISA (y posiblemente otras redes) prohíben estrictamente su almacenamiento:
http://usa.visa.com/merchants/risk_management/cisp_payment_applications.html
comerciantes que almacenan estos datos pueden ser golpeados con fuertes multas y soltados por los procesadores. Esto le sucedió a un cliente mío.
El sistema de comercio electrónico de Apple solicita el código de seguridad cuando se crea una cuenta o cuando un nuevo dispositivo accede a una cuenta existente. En ambos casos, su plataforma inicia una transacción de cero dólares con la red de procesamiento para verificar la identidad de los clientes (nombre de usuario + contraseña + código de seguridad):
https://discussions.apple.com/thread/2594628?start=0&tstart=0
Algunos bancos emisores requieren códigos de seguridad para ser utilizado con cada transacción. En esos casos, la tienda de iTunes le pedirá el código.
xixonia es correcto que los datos personales se muestren en la infraestructura de Apple. La mayoría de sus servidores nunca tocan datos seguros, ya que todas las credenciales y datos financieros se envían encriptados a una red interna de sistemas altamente protegidos y monitoreados.
Además, los grandes minoristas como Apple y Amazon usan tecnologías de prevención y detección de fraude de terceros que buscan patrones de abuso.
"Es permisible para los emisores y empresas que apoyan la emisión de servicios para almacenar datos confidenciales de autenticación si hay un justificación de negocio y los datos se almacenan de forma segura"
de compra más fácil y transacciones posteriores son NO justificación comercial.
Un caso de uso pertinente serían las transacciones por lotes. Durante la compra, la tarjeta está autorizada para confirmar que la tarjeta está activa y que los fondos están disponibles. El banco emisor generalmente grava, pero no retira, el monto de la transacción de la cuenta del titular de la tarjeta. Durante una transacción de captura posterior, el comerciante se instala con el procesador y los fondos se transfieren. Esto podría suceder porque:
Por ese camino desencadena mucho mayor bajo el escrutinio PCI DSS. Los comerciantes que usan sistemas de pago de terceros como Google Checkout y PayPal obtienen un tratamiento mínimo (SAQ A). Los comerciantes que almacenan CUALQUIER de datos de titulares de tarjetas tienen la pesada carga de la SAQ D.
Los controles de compensación para la celebración de los códigos de seguridad & datos de banda magnética son aún más estrictas:
Gracias. El procesamiento por lotes no requiere el reingreso de los datos de CVVS. – ngzhongcai
Pero todavía estoy desconcertado en cuanto a cómo pueden llegar a esquivar las restricciones de PCI en dispositivos móviles. – ngzhongcai
Estoy confundido. ¿Desde cuándo Apple comenzó a almacenar información de tarjetas de crédito en sus dispositivos iOS? –
Tal vez debería cambiar mi pregunta. Pero tenga en cuenta que, al comprar alguna aplicación, Appstore no requiere que los datos de la tarjeta de crédito se vuelvan a ingresar nuevamente. Solo la contraseña de la cuenta de iTunes funcionará. ¿Cómo es posible sin almacenar ningún detalle de tarjeta de crédito? – ngzhongcai