问我能否向最终客户显示信用卡数据并符合PCI标准？

EN

最终，我认为你必须用你的PCI审计师来解决这个问题，而我不是。我认为你将很难弄清楚如何做到这一点，这是一种方法：(1)对你和卡数据的最终用户来说，不太繁重；( b)给你留下一个仍然符合PCI标准的系统，你的审计师会给出批准的印章，但我也不认为PCI v3会让它变得不可能。

这是最重要的问题：

一旦卡数据进入符合PCI的系统，就不能通过不兼容的方式提取和传送。这意味着你不能把卡上的数据发出去，然后发邮件给酒店，或者通过电话给别人。它必须在任何时候都被加密，访问记录，和无保护的平底锅只显示给那些有合法业务需要的人。

现在，如果访问受到适当的限制并记录了审计记录，那么酒店人员实际上确实有合法的业务需求(他们需要能够向卡收费)，您可以成功地论证这一点。然而，它仍然提高了风险水平，任何特定的审计师都可能拒绝购买这种推理。

如果你能将数据直接发送到酒店或旅游运营商自己的符合PCI标准的处理系统，让他们从那里担心，而不是通过人的中介工作，你会过得更好。

你不应该向任何人(包括授权用户)显示完全可读的信用卡。这是一个糟糕的安全实践。如果您这样做了，那么您将需要实现更强大的访问和监控控制到位，以确保授权用户的凭据不受损害，黑客不会窃取CC数据。最好只是显示最后4位数字的CC。

信用卡数据并不是同质的。有些信息你可以显示，有些你甚至不允许存储。例如，不允许存储CVV2代码。然而，其他信用卡数据是持卡人的名字，交易历史等，所以你必须逐个实地查看它。

一般来说，最佳实践是最小化--永远不要让更多的数据比一个特定的人所需要的工作更容易获取。例如，呼叫中心的客户服务代表根本无法看到CC号码。