Продавец хочет получить лицевую и обратную копии карты клиента, включая его код CVV.
Резюме
Стандарты безопасности индустрии платежных карт рекомендуют продавцам не хранить данные карт, за исключением случаев, когда это необходимо для бизнеса, хотя специального закона против этой практики нет.
Хотя сегодняшние заголовки обычно связаны с проблемами утечки данных в Интернете, все еще существуют опасения по поводу хранения данных в старых картотеках.
Читатель Скотт, например, задается вопросом, приемлемо ли с юридической точки зрения для розничного бизнеса делать копии кредитной карты клиента для хранения в картотеке на месте. Это включает в себя лицевую и обратную копии карты с кодом подтверждения карты (CVV). Будет ли такая практика противоречить федеральному закону?
Похоже, что в настоящее время продавцы более склонны избегать такой практики, потому что их можно привлечь к ответственности за халатность и ненадежное хранение информации о клиентах. Однако некоторые могут захотеть сохранить эту информацию, чтобы упростить регулярное выставление счетов, например, для текущих ежемесячных услуг.
Совет по стандартам безопасности индустрии платежных карт (PCI) излагает строгие правила обеспечения безопасности данных для продавцов в отношении хранения данных.
Адвокат Дана Карни, директор юридической фирмы Karni в Хьюстоне, заявила в комментариях по электронной почте: «Мне неизвестен какой-либо конкретный закон, который запрещал бы копирование лицевой и оборотной сторон кредитной карты. Однако я знаю, что стандарты PCI строго соблюдаются многими коммерческими поставщиками. Чтобы соответствовать требованиям PCI, продавцы должны продемонстрировать безопасность данных».
Стандарты индустрии платежных карт
Совет по стандартам безопасности PCI заявляет в своем онлайн-справочнике по стандартам безопасности данных для платежной индустрии, что ответственность за защиту данных держателей карт и предотвращение их использования без разрешения лежит на продавца.
Совет отмечает: «Как правило, данные о держателях карт никогда не должны храниться, за исключением случаев, когда это необходимо для удовлетворения потребностей бизнеса. Конфиденциальные данные на магнитной полосе или чипе никогда не должны храниться. Если ваша организация хранит PAN (номер основного счета), очень важно сделать его нечитаемым».
Стандарты также не разрешают продавцам хранить конфиденциальные данные аутентификации, такие как CID держателя карты (идентификационный номер карты), CVV, PIN (личный идентификационный номер) или данные магнитной полосы карты.
Совет по стандартам безопасности PCI также отмечает, что может применяться законодательство, связанное с конфиденциальностью потребителей, защитой данных, кражей личных данных или безопасностью данных, которое требует от продавцов особой защиты таких данных карты потребителя или влечет за собой необходимость адекватного раскрытия информации, если они собирают такие данные в ведение своего дела.
И организация объясняет, как предотвратить старомодные попытки взлома и входа для доступа к данным в картотеке, а также попытки взлома для доступа к данным, хранящимся в Интернете. Например, ведение журнала посетителей может обеспечить запись тех, кто мог получить доступ к этим данным.
FTC рекомендует
Федеральная торговая комиссия также вносит свой вклад, сообщая предприятиям, что, хотя может потребоваться сбор личных данных клиентов для облегчения транзакции, может быть нецелесообразно хранить эти данные после заключения сделки.
И вы тоже можете внести свой вклад, чтобы предотвратить мошенничество с кредитными картами. Меры предосторожности, которые FTC рекомендует потребителям, включают:
Будьте осторожны и используйте свое усмотрение
Скотт, главное - остерегайтесь позволять продавцу снимать копии вашей карты без какой-либо законной деловой причины. Адвокат Лу Энн Тревино, руководитель юридической фирмы Trevino в Хьюстоне, сказала в электронном письме: «Я не могу придумать никаких юридических оснований для того, чтобы продавец требовал копию кредитной карты. Я бы отказался от этой просьбы».
И если вы обнаружите, что продавец скомпрометировал ваши данные, вы можете подать против него в суд.
«Прежде чем начинать судебный процесс, заказчик может захотеть получить полное представление о глубине своего ущерба», - сказал Карни. «Это будет включать изучение их кредитных отчетов под микроскопом и подтверждение со временем, что никакие новые запросы или запросы на получение кредита не делаются от имени потребителя без его ведома».
Она предполагает, что эмитенты карт ответят на такого рода возможные утечки данных, связанные с небрежностью, и будут быстрее переходить на карты с чипом.
Резюме
Стандарты безопасности индустрии платежных карт рекомендуют продавцам не хранить данные карт, за исключением случаев, когда это необходимо для бизнеса, хотя специального закона против этой практики нет.
Хотя сегодняшние заголовки обычно связаны с проблемами утечки данных в Интернете, все еще существуют опасения по поводу хранения данных в старых картотеках.
Читатель Скотт, например, задается вопросом, приемлемо ли с юридической точки зрения для розничного бизнеса делать копии кредитной карты клиента для хранения в картотеке на месте. Это включает в себя лицевую и обратную копии карты с кодом подтверждения карты (CVV). Будет ли такая практика противоречить федеральному закону?
Похоже, что в настоящее время продавцы более склонны избегать такой практики, потому что их можно привлечь к ответственности за халатность и ненадежное хранение информации о клиентах. Однако некоторые могут захотеть сохранить эту информацию, чтобы упростить регулярное выставление счетов, например, для текущих ежемесячных услуг.
Совет по стандартам безопасности индустрии платежных карт (PCI) излагает строгие правила обеспечения безопасности данных для продавцов в отношении хранения данных.
Адвокат Дана Карни, директор юридической фирмы Karni в Хьюстоне, заявила в комментариях по электронной почте: «Мне неизвестен какой-либо конкретный закон, который запрещал бы копирование лицевой и оборотной сторон кредитной карты. Однако я знаю, что стандарты PCI строго соблюдаются многими коммерческими поставщиками. Чтобы соответствовать требованиям PCI, продавцы должны продемонстрировать безопасность данных».
Стандарты индустрии платежных карт
Совет по стандартам безопасности PCI заявляет в своем онлайн-справочнике по стандартам безопасности данных для платежной индустрии, что ответственность за защиту данных держателей карт и предотвращение их использования без разрешения лежит на продавца.
Совет отмечает: «Как правило, данные о держателях карт никогда не должны храниться, за исключением случаев, когда это необходимо для удовлетворения потребностей бизнеса. Конфиденциальные данные на магнитной полосе или чипе никогда не должны храниться. Если ваша организация хранит PAN (номер основного счета), очень важно сделать его нечитаемым».
Стандарты также не разрешают продавцам хранить конфиденциальные данные аутентификации, такие как CID держателя карты (идентификационный номер карты), CVV, PIN (личный идентификационный номер) или данные магнитной полосы карты.
Совет по стандартам безопасности PCI также отмечает, что может применяться законодательство, связанное с конфиденциальностью потребителей, защитой данных, кражей личных данных или безопасностью данных, которое требует от продавцов особой защиты таких данных карты потребителя или влечет за собой необходимость адекватного раскрытия информации, если они собирают такие данные в ведение своего дела.
И организация объясняет, как предотвратить старомодные попытки взлома и входа для доступа к данным в картотеке, а также попытки взлома для доступа к данным, хранящимся в Интернете. Например, ведение журнала посетителей может обеспечить запись тех, кто мог получить доступ к этим данным.
FTC рекомендует
Федеральная торговая комиссия также вносит свой вклад, сообщая предприятиям, что, хотя может потребоваться сбор личных данных клиентов для облегчения транзакции, может быть нецелесообразно хранить эти данные после заключения сделки.
И вы тоже можете внести свой вклад, чтобы предотвратить мошенничество с кредитными картами. Меры предосторожности, которые FTC рекомендует потребителям, включают:
- Храните безопасный учет номера каждой карты и даты истечения срока действия, а также ее номера, чтобы сообщать о мошенничестве.
- Не давайте свою карту никому.
- Не будьте небрежны с выписками по карте, картами или квитанциями. И измельчите их, когда закончите с ними.
- Не забудьте вернуть карту после совершения транзакции.
- Свяжитесь с эмитентом карты, если вам не известно о списаниях.
- Не подписывайте пустой чек.
- Сообщите эмитенту карты о любом изменении адреса или расширенных планах поездок.
Будьте осторожны и используйте свое усмотрение
Скотт, главное - остерегайтесь позволять продавцу снимать копии вашей карты без какой-либо законной деловой причины. Адвокат Лу Энн Тревино, руководитель юридической фирмы Trevino в Хьюстоне, сказала в электронном письме: «Я не могу придумать никаких юридических оснований для того, чтобы продавец требовал копию кредитной карты. Я бы отказался от этой просьбы».
И если вы обнаружите, что продавец скомпрометировал ваши данные, вы можете подать против него в суд.
«Прежде чем начинать судебный процесс, заказчик может захотеть получить полное представление о глубине своего ущерба», - сказал Карни. «Это будет включать изучение их кредитных отчетов под микроскопом и подтверждение со временем, что никакие новые запросы или запросы на получение кредита не делаются от имени потребителя без его ведома».
Она предполагает, что эмитенты карт ответят на такого рода возможные утечки данных, связанные с небрежностью, и будут быстрее переходить на карты с чипом.
