it-swarm-eu.dev

Mindestanforderungen für die Speicherung der letzten 4 Ziffern der Kreditkartennummer?

Wir haben eine Händler-Website, die CIM und AIM von Autorize.net verwendet. Unsere Benutzer haben möglicherweise mehrere Kreditkarten, daher möchten wir ihnen die Möglichkeit geben, zwischen Kreditkarten zu unterscheiden, die sie vor Ort verwenden. Derzeit denken wir darüber nach, den Namen des Karteninhabers, die 4 letzten Ziffern der CC-Nummer und deren Ablaufdatum zu speichern.

Was sind die Mindestanforderungen, die zum Speichern dieser sensiblen Daten eingehalten werden sollten?

Edit : PCI DSS sagt:

Die primäre Kontonummer ist der bestimmende Faktor für die Anwendbarkeit von PCI DSS Anforderungen. PCI DSS Anforderungen gelten, wenn eine primäre Kontonummer (PAN) gespeichert ist. verarbeitet oder übertragen. Wenn PAN nicht gespeichert, verarbeitet oder übertragen wird, gelten keine PCI DSS-Anforderungen).

So können der Name des Karteninhabers und das Ablaufdatum gespeichert werden, ohne dass die Konformität besteht. Aber was ist mit 4 letzten Ziffern von PAN?

65
Andrei Botalov

Der Name des Karteninhabers, die 4 letzten Ziffern der CC-Nummer und das Ablaufdatum sind alle [~ # ~] nicht [~ # ~] sensible Daten. Der Name des Karteninhabers und das Ablaufdatum müssen nur geschützt werden, wenn Sie sie mit der vollständigen primären Kontonummer und nicht mit der abgeschnittenen vierstelligen Nummer speichern.

Wenn Sie Karteninhaberdaten speichern, verarbeiten oder übertragen, müssen Sie alle anderen PCI DSS - Anforderungen erfüllen, die kaushal erwähnt, aber für die von Ihnen aufgelisteten Elemente müssen Sie nichts tun speziell, um sie zu schützen.

Weitere Informationen hierzu finden Sie auf den Seiten 7 und 8 der PCI DSS: https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf

61
freb

Bestimmte Zahlungsprodukte übertragen die Last der PCI-Konformität auf den Zahlungsdienstleister (Authorize.NET oder Paypal Pro). Sie verlangen jedoch, dass ein Verbraucher an die Server des Zahlungsanbieters weitergeleitet wird, um seine Bestellung abzuschließen. Wenn Ihre Website über eine API in Authorize.NET integriert wird, haften Sie weiterhin für die PCI-Konformität, da Ihre Server zuerst die Kreditkartendaten erfassen und übertragen.

Es ist wichtig, dass Sie die Anforderung 3 des PCI-DSS-Handbuchs beachten, nämlich Karteninhaberdaten schützen.

Laut PCI-DSS https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf ,

Sofern Sie kein Emittent oder Unternehmen sind, das die Ausgabe von Diensten unterstützt, wird in Abschnitt 3.2 klar erläutert, dass Sie vertrauliche Daten auch dann nicht speichern können, wenn sie verschlüsselt sind.

Jedoch , wenn Sie vertrauliche Daten für den normalen Geschäftsverlauf aufbewahren, dann sind Sie muss über eine definierte Richtlinie zur Vorratsdatenspeicherung und -entsorgung verfügen, wie in Abschnitt 3.1 erläutert.

Außerdem müssen Sie sensible Daten maskieren, wenn sie gemäß Abschnitt 3.3 angezeigt werden

Und Sie müssen die gespeicherten sensiblen Daten unlesbar machen , wie in Abschnitt 3.4 erläutert

Edit :

Mit den im PCI-DSS-Dokument erwähnten Anforderungen 3.2 und Unteranforderungen 3.2.1 möchte ich wiederholen, dass sensible Daten bei der Speicherung/Übertragung 1) Karte enthalten Nummer 2) Name des Karteninhabers 3) Ablaufdatum 4) Servicecode

Seite 7 & 8 sagt, PAN definiert die Anwendbarkeit von PCI-DSS.

IMO, Abwesenheit von FULL Pan löst jede PCI-DSS-Anwendbarkeit auf. Ich stimme der obigen Antwort zu.

In diesem Fall gilt PCI-DSS daher nicht, wenn Sie einen Teil dieser Daten zusammen mit den ersten 6 und/oder den letzten 4 Ziffern der Kreditkartennummer speichern.

11
kaushal