Ciao @VladislavLysov Benvenuto.
Temo che sarà necessario un po 'più specifico; sembra esserci una leggera differenza tra la memorizzazione e la trasmissione di dettagli. Alcuni dati dovrebbero mai essere memorizzati, anche in forma crittografata, come ad esempio l'articolo 3.2.3, che dice: "Non memorizzare il numero di identificazione personale (PIN) o il blocco PIN crittografato."
Indietro di un passaggio, Requisito 3: protezione dei dati dei titolari di carta memorizzati
3.1 - Keep cardholder data storage to a minimum by implementing data retention and disposal policies, procedures and processes, as follows.
3.2 - Do not store snsitive authentication data after authorization (even if encrypted).
I dati sensibili in questo contesto sono:
- Valore di verifica carta
- PIN o il blocco PIN crittografato
-
L'intero contenuto della striscia magnetica
Per quanto riguarda la banda magnetica, lo stesso PCI afferma che nel "normale corso degli affari, potrebbe essere necessario conservare i seguenti elementi della banda magnetica:
- Nome del titolare della carta
- Numero account principale (PAN)
- Data di scadenza
- Codice servizio "
Infine,
3.3 - Mask PAN when displayed (the first six and last four digits are the maximum number of digits to be displayed).
Quindi riassumendo e (si spera) rispondi alle tue domande, 1) A mio avviso, l'intera comunicazione dovrebbe essere eseguita in modo crittografato 2) nessuna delle gli oggetti dei tre punti elenco dovrebbero mai essere memorizzati, né crittografati né mascherati. Ciò che hai menzionato riguardo al mascheramento riguarda l'archiviazione dei PAN, che non dovrebbero essere visibili a nessun altro a parte i pochissimi utenti che hanno il diritto di vederlo per portare avanti il loro lavoro. Nei casi in cui il PAN viene visualizzato, ad esempio, all'utente, allora è quando è necessario mascherarlo per non mostrare l'intero numero. CVV, i PIN non dovrebbero mai essere archiviati ovunque, inclusi i log che hai menzionato. È possibile memorizzare (per un periodo non più lungo del necessario) parte del contenuto della banda magnetica e questo deve essere crittografato. Puoi anche memorizzare i PAN, ma di nuovo devono essere mascherati nei log generali e quando vengono presentati agli utenti.