Совет PCI на своем официальном сайте опубликовал пояснения касательно хранения проверочных значений (CVV2, CVC2, CID, CAV2) платежных карт в аудиозаписях.

В частности, консул еще раз обозначил, что хранение проверочных значений является прямым нарушением требования 3.2.2. В связи с этим запрещается использовать любые формы цифровых аудиозаписей (wav, mp3 и т.д.) для хранения проверочных значений, так как эти данные могут быть без труда извлечены с использованием свободно доступного программного обеспечения.

Также необходимо убедиться, что архивы аудиозаписей не содержат в себе проверочных значений, и при необходимости произвести их удаление.

Исключением могут служить аудиозаписи в аналоговом формате в связи со сложностью извлечения данных, но при этом к таким записям необходимо применять все требования стандарта по физической защите и ограничению логического доступа.

Ряд производителей предоставляет коммерческие программно-аппаратные решения аудиозаписи, предотвращающие хранение или производящие удаление кодов CAV2, CVC2, CVV2 или CID и прочих данных платежных карт. Все прочие записи, содержащие данные платежных карт, которые были получены в ходе работы call-центров, должны быть защищены в соответствии со стандартом PCI DSS, включая требование 3.4.