问电子邮件中主动申请的信用卡？

EN

作为一名QSA，下面是我希望您处理这种情况的方法：

1. 有一个政策，这是严格执行，规定不得发送或接收任何卡数据通过电子邮件。
2. 有一个程序，以处理意外的电子邮件包含卡数据。这应该包括安全删除违规电子邮件的过程，并通知客户如何正确地传输支付信息。
3. 执行一种方法来验证是否正在遵循策略和过程。这可以包括：
   • 定期扫描您的电子邮件服务器的信用卡数据。
   • 实现一个DLP解决方案，将监视您的电子邮件服务器的违规数据，并编辑或不允许它被发送或存储。

在考虑PCI评估时，上面的第3点很重要。您的QSA将在评估开始时验证CDE的范围。范围界定的部分练习可能包括持卡人数据发现扫描，当涉及到存储卡数据时，电子邮件服务器是常见的违法者。如果QSA在服务器上发现卡数据，那么它将被视为CDE的一部分。这可能会导致一些问题，如果您没有期望它包括在评估中，所以系统可能不符合PCI标准。这也使得你很难证明你在遵循自己的政策。单凭策略不足以保护您不受PCI需求的影响。它也必须得到执行。

根据我对PCI-DSS 3(PDF)适用性的理解，如果您主动拒绝(即不要通过电子邮件接受信用卡数据)，您的电子邮件系统就不被认为是CDE或Cardholder Data Environment的一部分。听起来你必须对此非常严格- 100%的遵从性，或者你的电子邮件系统现在是你的CDE的一部分，必须保持PCI的遵从性。

我建议您制定一项政策，放弃包含任何信用卡数据的电子邮件，并像您正在做的那样创建一封新的电子邮件给客户。这里的不同之处在于，你绝对不能通过电子邮件接受信用卡数据，并使用这些数据来验证或处理付款。为您的客户服务代理制定政策，使他们不能通过电子邮件索取卡数据，也不能要求以电子邮件(包括附件)的形式将其退回。如果可能的话，我会在您收到的电子邮件上放置一个筛选器，以查找CC编号模式(从4、5或6开始；16位数字，可以分成3组或4组.)，并删除CC信息。

请记住，我不是一个PCI专业，但已经接受了几年。考虑到责任，最好还是谨慎行事，尽管如果你不允许使用电子邮件的信用卡信息，你的责任就会大大降低。