Abbiamo un sito web di commercianti che utilizza CIM e AIM di Autorize.net. I nostri utenti potrebbero avere più carte di credito, quindi vorremmo dare loro l'opportunità di distinguere tra carte di credito che usano sul sito. Attualmente pensiamo di memorizzare il nome del titolare della carta, 4 ultime cifre del numero CC e la sua data di scadenza.
Quali sono i requisiti minimi che dovrebbero essere conservati per memorizzare questi dati sensibili?
Modifica: dice PCI DSS:
The primary account number is the defining factor in the applicability of PCI DSS requirements. PCI DSS requirements are applicable if a primary account number (PAN) is stored, processed, or transmitted. If PAN is not stored, processed or transmitted, PCI DSS requirements do not apply.
Quindi il nome del titolare della carta e la data di scadenza possono essere memorizzati senza essere conformi. Ma che dire di 4 ultime cifre di PAN?