PCI-DSS afferma quanto segue:
3.5 Protect any keys used to secure cardholder data against disclosure and misuse
Ho un servizio che memorizza un hash bcrypt salato del PAN dell'utente. Supponendo che l'algoritmo di bcrypt sia regolato per una lentezza significativa, come si applica il requisito 3.5 al sale usato per calcolare l'hash? Devo proteggerlo come una comune chiave di crittografia dei dati?