Appstore如何获得存储CVV2？

Question

Appstore如何得到这个限制？ CVV2的细节可以保存在iOS设备本地，并且仍然符合PCI标准？本地加密CVV2的详细信息，只有用户有密钥？虽然像PAN这样的信用卡细节的其余部分存储在服务器端？

Answer 1

简短的回答：

您的发卡银行并不需要为每笔交易的安全代码验证。

LONG解答：

卡安全代码和磁条数据不允许通过PCI DSS被存储。此外，VISA（以及可能的其它网络）严格禁止其存储：

http://usa.visa.com/merchants/risk_management/cisp_payment_applications.html

招存储该数据可以与巨额罚款敲定中，并由处理器丢弃。这发生在我的一个客户身上。

Apple的电子商务系统在创建帐户时或者新设备访问现有帐户时要求输入安全代码。在这两种情况下，他们的平台发起与处理网络零美元的交易，以验证客户的身份信息（用户名+密码+防伪码）：

https://discussions.apple.com/thread/2594628?start=0&tstart=0

一些发卡银行要求的安全代码与使用每笔交易。在这些情况下，iTunes商店会提示您输入代码。

xixonia是正确的，个人数据在Apple的基础设施中被标记化。他们的大部分服务器都不会触及安全数据，因为所有凭据和财务数据都会通过加密传递到高度受保护和受监控系统的内部网络。

此外，苹果和亚马逊等大型零售商使用第三方欺诈检测和预防技术来查找滥用模式。

“这是允许的发行和支持发行 服务来存储敏感验证数据是否有业务 理由和数据安全地存储企业”

更容易购买和后续交易不是商业理由。

相关的使用案例将是批量交易。在购买期间，卡有权确认卡是活动的并且资金可用。发卡银行通常会从持卡人的账户中扣除但不退出交易金额。在随后的捕捉交易中，商家与处理器结算并转移资金。这可能是因为：

• 发行银行需要它（例如，语音授权）。
• 支付网络需要它（例如，美国运通公司曾经使用过）。
• 商家不知道完整的交易金额（例如餐厅小费）。
• 商家没有与支付网络（例如移动运营商）的持续连接。

走这条路触发MUCH较高下的PCI DSS审查。使用Google Checkout和PayPal等第三方结算系统的商家得到的待遇最低（SAQ A）。谁存储任何持卡人数据的商家已经SAQ D.

补偿性控制的沉重负担，保持安全码&磁条数据更加严格：

• 数据必须采用最佳做法存储（随机盐+强加密密码+限制密钥+强制访问控制+审计访问）。
• 必须在设定的宽限期（通常为一两天）后自动删除数据。
• 数据必须被安全地覆盖，并且在允许它的介质上（大多数固态驱动器的磨损均衡机制阻止了这种情况）。