Sto cercando di implementare un processo di generazione di token PCI basato su un codice MAC ottenuto dal PAN. Questo sarebbe un token irreversibile.
Il metodo che ho in mente mi sembra OK, ma non sono abbastanza sicuro che volerebbe con un QSA. Alcuni consigli sui potenziali fallimenti della mia ricetta sarebbero molto apprezzati.
Ecco i dettagli:
- Il token sarebbe un valore di 32 cifre, 10 delle quali sarebbero decimali e 8, esadecimale. Le 10 cifre decimali sarebbero le prime 6 e le ultime 4 cifre del PAN. Vengono aggiunti solo per creare varietà ed evitare collisioni;
- Le 8 cifre esadecimali sarebbero un CBC MAC ottenuto da una stringa di 32 caratteri formata dal PAN XORed con un sale, oltre ad alcune imbottiture fatte con alcune cifre PAN (ripetute);
- L'HSM che sto usando supporta solo 3DES con chiavi a doppia lunghezza (senza AES, senza SHA-256, ecc ...);
Qualcuno ha un'opinione su questo metodo?