CVV code mogen ze helemaal niet opslaan van PCI-DSS! Ze gebruiken dus ten onrechte credit card faciliteiten. Als ik de cc uitgevers zou zijn dan zou ik ze de toegang tot autorisaties ontzeggen wegens misbruik.

Ze mogen de CVV niet opslaan nadat de transactie is geautoriseerd. Zolang het proces van de kaart verifiëren en de transactie autoriseren nog niet is afgerond mag het wel. Er is dus een kort tijdvenster waarin opslag wel mag.

Ik vind het verhaal (in het Engels te lezen via de tweede link in het artikel) niet overkomen alsof het lek in dat proces zat, het leest alsof iedereen die ooit met een credit card bij ze heeft betaald de kaart moet laten blokkeren. Dat riekt naar permanente opslag, wat inderdaad in strijd is met de voorwaarden.

Maar toch is er een scenario mogelijk waarin ze dat op zich goed deden maar waarbij het lek in het verificatieproces zelf zat waardoor vluchtige CVV's afgetapt konden worden. Maar dan zou ik verwachten dat het gaat om creditcardbetalingen in een bepaalde periode. Het lijkt me daarom waarschijnlijker dat ze het wel ongeoorloofd opsloegen, maar helemaal uitsluiten kan je dit scenario niet.
Iets erbij verkeerd doen maakt niet dat het ondersteunen van creditcardbetalingen onterecht is.
Het lijkt me waarschijnlijker dat eerst om tekst en uitleg wordt gevraagd zodat duidelijk is wat er is misgegaan. Als ze inderdaad de CVV onterecht hebben opgeslagen zal in de voorwaarden of het contract met hun bank of betaalprovider staan wat dat voor gevolgen kan hebben.


Uit de Engelse versie van de e-mail:
Bla bla bla. Waarom zijn zoveel PR-mensen zo blind voor hoe totaal hol en ongeloofwaardig dit soort frasen overkomen bij een gebeurtenis die wel heel sterk suggereert dat die commitment beneden de maat was?

hadden ze een paar jaar geleden niet ook al niet in de gaten dat ze maand ofzo gehacked waren en wederom CC gegeves op straat lagen? toen was het nog 'oeps, sorry dat we het niet gemeld hadden bij de spaanse avg-club... en klanten waren nooit geinformeerd overigens...

CC maatschappijen zijn nogal van gestrekt been inkomen bij hun eigen klanten... maar niet bij dit soort toko's... zijn de klanten niet de klanten bij CC maatschappijen dan?

Nee, dat mag niet worden opgeslagen. Lees de PCI-DSS regels er maar op na, en laat maar zien waar staat dat het wel mag. Ik ken ze nogal goed. ;)

Nee, er wordt niet om uitleg gevraagd. Er wordt overgegaan tot opleggen van boete/uitsluiting omdat er dus is aangetoond dat ze zich niet aan de regels houden. Daarna mogen ze uitleg geven.

Je bedoelt dit?
Pagina 78. De PDF is op diverse sites te downloaden, bijvoorbeeld hier:
https://www.commerce.uwo.ca/pdf/PCI-DSS-v4_0.pdf
(pcisecuritystandards.org zelf vereist dat je je gegevens opgeeft en met van alles accoord gaat voor je erbij mag)

Ik vind dat toch heel duidelijk en consequent stellen dat de vereiste "after autorization" in werking treedt, compleet met een uitleg van wat ze met "authorization" bedoelen.

Natuurlijk is de beste oplossing voor het voldoen aan deze vereiste om een CVV of andere SAD om te beginnen niet op schijf op te slaan maar alleen in werkgeheugen te houden. Maar als ik denk aan een ouderwets mainframe met batchjobs waarin de jobsteps gegevens aan elkaar doorgeven via tussenbestanden, en dat ook niet kunnen zonder opslag op schijf, dan snap ik wel waarom ze de vereiste niet zo formuleren dat het absoluut niet mag. Er bestaan architecturen waarop je er niet omheen kan en die kunnen ze niet buitensluiten. Als je bedenkt dat werkgeheugen ook een vorm van opslag is dan kan trouwens geen enkel system eromheen een CVV tijdelijk op te slaan.