Vogliamo memorizzare alcuni dati dei titolari di carta nel nostro database. Le carte che vogliamo memorizzare sono tutte collegate al nostro account aziendale. Questo rientra nel quadro PCI? Ad esempio, devo rispettare i requisiti relativi alla conservazione dei dati dei titolari di carta?
@Rook ha ragione. Non è necessario essere conformi allo standard PCI DDS per memorizzare i propri dati, ma è comunque necessario adottare i metodi di protezione (ma non tutta la "burocrazia" aggiunta) proposta dalla bolletta PCI DDS.
A cosa serve questo DB, oltre a memorizzare le informazioni della carta? È (anche una parte di esso) accessibile agli estranei? Se usato solo internamente, una restrizione IP ti darà abbastanza tranquillità, se non lo è - un WAF compatibile con PCI sarebbe una buona idea.
Il PCI riguarda la protezione dei consumatori e dei "dati dei consumatori". Non penso che il PCI-DSS si applichi qui, sebbene non sia una buona idea. SQL Injection può essere usato per leggere questi valori, è leggermente meglio codificare questi valori in un file di configurazione, ma è anche una progettazione più appropriata.
Leggi altre domande sui tag pci-dss