it-swarm-eu.dev

Minimální požadavky na uložení posledních 4 číslic čísla kreditní karty?

Máme obchodní web, který používá CIM a AIM společnosti Autorize.net. Naši uživatelé mohou mít více kreditních karet, takže bychom jim měli dát možnost rozlišovat mezi kreditními kartami, které používají na webu. V současné době uvažujeme o uložení jména držitele karty, 4 posledních číslic čísla CC a data vypršení platnosti.

Jaké jsou minimální požadavky, které by měly být dodržovány pro uložení těchto citlivých údajů?

pravit: PCI DSS říká:

Primární číslo účtu je určujícím faktorem použitelnosti PCI DSS.) PCI DSS požadavky jsou použitelné, pokud je uloženo primární číslo účtu (PAN), Pokud PAN není uložen, zpracován nebo přenesen, PCI DSS požadavky neplatí).

Jméno držitele karty a datum vypršení platnosti lze uložit, aniž by to bylo v souladu. Ale co poslední 4 číslice PAN?

65
Andrei Botalov

Jméno držitele karty, 4 poslední číslice čísla CC a datum vypršení platnosti jsou všechna [~ # ~] ne [~ # ~] citlivá data. Jméno držitele karty a datum vypršení platnosti vyžadují ochranu, pouze pokud je ukládáte s úplným primárním číslem účtu, nikoli zkráceným čtyřmístným číslem.

Pokud ukládáte, zpracováváte nebo přenášíte data držitelů karet, musíte splnit všechny ostatní PCI DSS požadavky, které Kaushal zmiňuje, ale pro položky, které jste uvedli, nemusíte nic dělat) speciální je chránit.

Viz strany 7 a 8 PCI DSS pro více informací o tomto: https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf

61
freb

Některé platební produkty přenášejí zatížení PCI na poskytovatele platebních služeb (Authorize.NET nebo Paypal Pro). Vyžadují však, aby byl spotřebitel předán serverům poskytovatele plateb, aby dokončil svou objednávku. Pokud se váš web integruje s rozhraním Authorize.NET prostřednictvím rozhraní API, jste stále zodpovědní za dodržování předpisů PCI, protože vaše servery nejprve zaznamenávají a přenášejí údaje o kreditní kartě.

Je důležité, abyste věnovali pozornost požadavku 3 průvodce PCI-DSS, který je Chránit data držitelů karet .

Podle PCI-DSS https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf ,

Pokud nejste vydavatelem nebo společností podporující vydávání služeb, oddíl 3.2 jasně vysvětluje, že citlivá data nelze ukládat, i když jsou šifrována.

Nicméně , pokud si uchováváte citlivá data pro běžné podnikání, pak musí mít definované zásady uchovávání a likvidace dat , jak je vysvětleno v části 3.1.

A také musíte maskovat citlivá data, když jsou zobrazena podle části 3.3

A musíte učinit uložená citlivá data nečitelnými , jak je vysvětleno v části 3.4.

Upravit:

Podle požadavků 3.2 a dílčích požadavků 3.2.1 uvedených v dokumentu PCI-DSS bych rád opakoval, že citlivá data v úložišti/přenosu zahrnují 1) Karta Číslo 2) Jméno držitele karty 3) Datum vypršení platnosti 4) Servisní kód

Page 7 & 8 říká: PAN definuje použitelnost PCI-DSS.

IMO, Absence of FULL pánve rozpouští jakoukoli použitelnost PCI-DSS. Souhlasím s výše uvedenou odpovědí.

V tomto případě se tedy PCI-DSS nepoužije, pokud uložíte jakoukoli část těchto dat spolu s prvními 6 a/nebo posledními 4 číslicemi čísla kreditní karty.

11
kaushal