In base al PCI-DSS 3.4 Requisito:
Rendi PAN illeggibile ovunque sia memorizzato usando i seguenti metodi:
- Hash unidirezionale
- troncamento
- Token e pad indice
- Crittografia strong con processi e procedure di gestione delle chiavi associati
La mia domanda basata sul requisito precedente è:
-
Quindi, se è necessario crittografare i dettagli della carta di credito, quale sarebbe un processo migliore?
-
Se vogliamo crittografare il numero della carta di credito per l'archiviazione, allora dovremmo disporre di Data Encryption Key (DEK) per crittografare il numero della carta di credito. Quindi abbiamo bisogno di generare una chiave di crittografia unica per crittografare ogni numero di carta di credito? o per generare una chiave di crittografia univoca per ciascun utente (ogni utente può avere due o più CC)? o per generare una singola chiave di crittografia per crittografare tutti i numeri delle carte di credito?
-
Fornisci anche link relativi a un time pad o per favore spiegali a riguardo?