Nei requisiti PCI DSS 3.1, il termine "store" è usato spesso. Ad esempio, il requisito 3.2 dice "Non memorizzare dati sensibili di autenticazione dopo l'autorizzazione (anche se crittografati) ..." Questo significa che i dati sensibili di autenticazione possono essere tenuti in memoria e persino trasmessi tra sistemi dopo un'autorizzazione o l'uso della memoria (RAM ) considerato spazio di archiviazione?
IANAQSA
Nel PCI DSS, "store" significa fondamentalmente "conservare una copia di, al di fuori di quelle copie che sono necessarie per la catena di elaborazione effettiva". Non è tanto il metodo di "archiviazione" come l'intento.
Quindi il SAD può essere tenuto in memoria, scritto in un database, o anche salvato in un file come componente necessario per l'elaborazione. I file di elaborazione batch sono l'esempio più ovvio di questo. Ho sentito che i QSA descrivono il periodo accettabile per questo stato di elaborazione-archiviazione come "ore, non più di 24"; ecco un snippet di Braintree che afferma che potrebbe essere attivo di oggi. Dovresti discutere della tua situazione con il tuo QSA; sono gli unici il cui parere conta.
Allo stesso modo, se si tiene il SAD in memoria dopo che non è più necessario per l'elaborazione, si sta violando la clausola "non memorizzare". È possibile, ipoteticamente, impostare una coppia di programmi per eseguire il ping-pong dei dati SAD attraverso la rete in modo che vengano sempre trasmessi; se non hai avuto bisogno di quei dati per un passaggio di elaborazione, lo stai ancora "archiviando" quando non dovresti esserlo.
Leggi altre domande sui tag pci-dss