Requisiti minimi per la memorizzazione delle ultime 4 cifre del numero della carta di credito?

57

Abbiamo un sito web di commercianti che utilizza CIM e AIM di Autorize.net. I nostri utenti potrebbero avere più carte di credito, quindi vorremmo dare loro l'opportunità di distinguere tra carte di credito che usano sul sito. Attualmente pensiamo di memorizzare il nome del titolare della carta, 4 ultime cifre del numero CC e la sua data di scadenza.

Quali sono i requisiti minimi che dovrebbero essere conservati per memorizzare questi dati sensibili?

Modifica: dice PCI DSS:

The primary account number is the defining factor in the applicability of PCI DSS requirements. PCI DSS requirements are applicable if a primary account number (PAN) is stored, processed, or transmitted. If PAN is not stored, processed or transmitted, PCI DSS requirements do not apply.

Quindi il nome del titolare della carta e la data di scadenza possono essere memorizzati senza essere conformi. Ma che dire di 4 ultime cifre di PAN?

    
posta Andrei Botalov 07.09.2012 - 11:27
fonte

2 risposte

55

Il nome del titolare della carta, le ultime 4 cifre del numero CC e la data di scadenza sono tutti i dati sensibili NON . Il nome e la data di scadenza del titolare della carta richiedono una protezione solo se li stai memorizzando con il numero completo del conto principale, non con il numero troncato di 4 cifre.

Se stai archiviando, elaborando o trasmettendo dati di titolari di carta, devi soddisfare tutti gli altri requisiti PCI DSS menzionati da Kaushal, ma per gli articoli che hai elencato, non devi fare nulla di speciale per proteggerli.

Vedere le pagine 7 e 8 del PCI DSS per ulteriori informazioni su questo: link

    
risposta data 07.09.2012 - 21:37
fonte
11

Alcuni prodotti di pagamento trasferiscono l'onere della conformità PCI al fornitore di servizi di pagamento (Authorize.NET o Paypal Pro). Tuttavia, richiedono che un consumatore venga inoltrato ai server del fornitore di servizi di pagamento per completare l'ordine. Se il tuo sito web si integra con Authorize.NET tramite un'API, sei comunque responsabile della conformità PCI dal momento che i tuoi server acquisiscono e trasmettono per primi i dati della carta di credito.

Per te è importante prestare attenzione al requisito 3 della guida PCI-DSS, che è Proteggi i dati dei titolari di carte .

Secondo il link ,

del PCI-DSS

Se non sei un'emittente o una società che supporta l'emissione di servizi, la Sezione 3.2 spiega chiaramente che non è possibile memorizzare dati sensibili, anche se crittografati.

Tuttavia , se conservi dati sensibili per normali attività commerciali, devi disporre di una politica di conservazione e smaltimento dei dati definita in atto come spiegato nella sezione 3.1.

Inoltre, devi mascherare i dati sensibili quando visualizzati in base alla Sezione 3.3

E devi rendere illeggibili i dati sensibili memorizzati come spiegato nella sezione 3.4

Modifica:

Per i requisiti 3.2 e sub 3.2.1 menzionati nel documento PCI-DSS, vorrei aggiornarlo Dati sensibili nella memoria / trasmissione include 1) Numero della carta 2) Nome del titolare della carta 3) Data di scadenza 4) Codice di servizio

Pagina 7 & 8 dice, PAN definisce l'applicabilità di PCI-DSS.

IMO, l'assenza di pan FULL dissolve qualsiasi applicabilità PCI-DSS. Sono d'accordo con la risposta sopra.

Quindi, in questo caso, il PCI-DSS non si applica se memorizzi qualsiasi parte di questi dati insieme alle prime 6 e / o alle ultime 4 cifre del numero della carta di credito.

    
risposta data 07.09.2012 - 12:51
fonte

Leggi altre domande sui tag