Creditcard store Primo riferimento PCI a sei cifre

Naviga le tue risposte
3

Ho bisogno di memorizzare PAN mascherato con le prime sei cifre e le ultime quattro cifre insieme al mese e all'anno di scadenza della carta. È sicuro farlo secondo le regole PCI?

Per quanto riguarda le quattro cifre è stato precedentemente discusso nel seguente post.

Requisiti minimi per la memorizzazione degli ultimi Quattro cifre

Indica che la memorizzazione dei primi sei cifre e delle ultime quattro cifre è accettabile per la conformità PCI. C'è una documentazione PCI ufficiale con queste informazioni?

Ho fatto riferimento a pci_dss_v2 e pci_fs_data_storage , ma non è stato possibile trovare una risposta.

3.3 Mask PAN when displayed (the first six and last four digits are the maximum number of digits to be displayed).

La regola che più si riferisce è il requisito 3.3. Ma questo si applica solo se sto memorizzando il PAN, ma non menziona nulla sull'archiviazione delle prime sei + maschere + ultime 4 cifre. Apprezzo qualsiasi aiuto ...

    
posta Dhanuka777 08.03.2016 - 01:24
fonte

3 risposte

2

Considerando le tue domande indica che stai già elaborando i dati del titolare della carta, sia trasferendo PAN che memorizzando PAN (parziali), rientri nella categoria di SAQ-D. Questo significa che dovresti essere già sottoposto a controlli PCI (a condizione che tu abbia più di 300.000 transazioni all'anno), quindi è meglio verificare con il tuo QSA e vedere cosa dicono.

    
risposta data 08.03.2016 - 02:36
fonte
1

Le prime 6 cifre non sono informazioni estremamente sensibili. Comprendono il numero di identificazione IIN o Issuer ( link ). Anche le ultime quattro cifre non sono considerate informazioni sensibili. Infatti, i primi sei e gli ultimi quattro sono il numero massimo di cifre che è possibile visualizzare (vedere PCI DSS 3.3 link Tutti gli altri riferimenti ai numeri PCI provengono da questo documento).

Tuttavia, la data EXP + PAN è considerata informazione sensibile. La pagina 2 di questo documento contiene una buona spiegazione delle procedure di archiviazione ( collegamento ).

Inoltre 3.4 si applica in questo caso. Hai reso il numero inutilizzabile tramite il troncamento (sebbene il checksum Luhn consenta di indovinare il numero). Tuttavia, è necessario proteggere la Data EXP ed è consigliabile (notare che non sembra necessario) per non archiviare il PAN troncato nel testo del piano ma per impilare la protezione con l'hashing o la crittografia unidirezionale.

    
risposta data 08.03.2016 - 02:29
fonte
1

Ho mescolato il significato dei diversi requisiti e ho una certa confusione.

Requisiti 3.3 "Maschera PAN quando visualizzato (le prime sei e le ultime quattro cifre rappresentano il numero massimo di cifre da visualizzare)." parla di display not storage! se maschera il PAN fornisce una soluzione per questo requisito.

Requisiti 3.4 3.4 Render PAN illeggibile ovunque sia archiviato ... "parla di lo spazio di archiviazione non viene visualizzato!

Hai scritto "Ho bisogno di memorizzare il PAN mascherato". Il PAN mascherato è correlato al Requisito 3.3. e lo storage è correlato al requisito 3.4 per soddisfare questo requisito è possibile utilizzare hash unidirezionale / troncamento / crittografia / token

    
risposta data 10.03.2016 - 10:00
fonte

Leggi altre domande sui tag

È sicuro usare TFTP su una rete locale SHA1 / PBKDF2-HMAC-SHA1 è indissociabile dai dati casuali?