實體 POS 終端是否會將我的完整銀行卡號暴露給商家?
理論上,POS 終端直接與收單銀行通信,無需告訴商家我的銀行卡號、持卡人姓名或任何其他詳細資訊。我收到的紙質收據只包含我卡號的最後四位數字。
然而,沒有什麼能阻止終端僅僅因為它可以向商家披露任何或所有這些數據。這種選擇是否受到任何監管?有明確的商業慣例嗎?
是的,完整的 PAN(您的信用卡號)會暴露給商家的 POS 系統,是的,有一個明確的商業慣例應用,它被稱為 PCI-DSS,當商家想要時,世界上所有主要的信用卡提供商都需要它處理他們的卡片。
如果商家無法訪問完整的 PAN,他們將如何應對退款或客戶關於付款的爭議?
PCI DSS法規(在撰寫本文時有139頁,描述所有要求的文件),所有商家必須簽署才能處理來自主要信用卡的付款,要求除了 PAN 的前 6 位和後 4 位之外的所有數字在“顯示時”(包括在收據上)都被屏蔽,它實際上並沒有阻止 PAN 在收據上被完整記錄,因為它允許合法的業務需要例外你可以騎馬通過(儘管它遵守當地法律和更嚴格的當地法規)。
值得注意的是(感謝評論中@Bobson 的更新資訊),PCI-DSS 允許P2PE 解決方案這可以使商家網路無需遵守 PCI-DSS,因為商家無法直接使用客戶數據(包括 PAN)(儘管 POS 終端仍然可以使用)。這並不一定意味著這些解決方案將數據一直加密到銀行(除非銀行是 P2PE 提供商),並將您的問題主題從商家轉移到第三方。此外,對於大型商戶,允許 P2PE 提供者為商戶本身。例如,沃爾瑪規模的商家可以擁有一個內部 P2PE 子公司(他們實際上使用外部 P2PE 解決方案),所有商店都在使用它,以將 PCI-DSS 責任從商店中轉移出去(可以設置成多個其他子公司)。
特別是,PCI-DSS 的要求 3.1 具有以下指導:
授權後唯一可以儲存的持卡人數據是主帳號或 PAN(呈現為不可讀)、到期日期、持卡人姓名和服務程式碼
和同一文件的要求 3.3 規定:
顯示時屏蔽 PAN(前六位和後四位是要顯示的最大位數),這樣只有具有合法業務需求的人員才能看到多於 PAN 的前六位/後四位數字。
注意:此要求不會取代對持卡人數據顯示的更嚴格要求——例如,銷售點 (POS) 收據的法律或支付卡品牌要求。
雖然該指南明確規定這應該僅限於有合法業務需要查看完整 PAN 的人,但運營商可以自行決定這是誰,而且許多運營 POS 系統的企業要麼不知道此限制要求,或確定其所有員工有合法需要查看收據的商家副本上的完整 PAN。
在我生活和工作過的司法管轄區,您從 POS 收到的收據、客戶收據,除了 PAN(您的信用卡號)的前兩位數字和後四位數字外,其他所有數字都被掩蓋了。但是,通常在客戶收據之前列印出來的商家收據是允許的,並且確實印有卡的完整 PAN。在許多情況下,它也有卡的到期日期。但如果他們這樣做,則要求商家對這些收據應用 PCI-DSS 物理安全要求。
如果沒有當地法律禁止這樣做,那麼在您的管轄範圍內,情況可能是相同的。