Posso memorizzare i numeri ID governativi in base allo standard PCI DSS?

Naviga le tue risposte
3

Sto sviluppando un servizio, una parte della quale memorizza i dati della carta di credito dei suoi utenti. Secondo i requisiti delle compagnie israeliane di carte di credito, i miei utenti devono presentare il loro numero ID di governo quando effettuano una transazione.

Lo standard PCI vieta la memorizzazione di numeri di CVV e di carte di credito, a causa di motivi di sicurezza delle informazioni.

La mia domanda è: posso essere sicuro che la memorizzazione dei numeri ID governativi dei miei utenti non è contro lo standard PCI, dal momento che serve quasi allo stesso scopo di un CVV o di un numero PIN - per verificare il titolare della carta di credito?

    
posta Theodore 21.01.2017 - 22:17
fonte

1 risposta

2

PCIDSS pubblica come archiviare i dati della carta di pagamento. Un ID del governo non è coperto.

Tuttavia probabilmente sono informazioni che consentono l'identificazione personale e dovrebbero comunque essere gestite con cura.

Il set completo di requisiti è sepolto in un pdf

link

In pratica, devi crittografare il numero della carta e non puoi conservare il CVV2 / PIN o uno qualsiasi dei dati che potresti leggere da una carta (ma che non puoi vedere guardandolo)

Tutto il resto può essere archiviato in modo non criptato.

    
risposta data 21.01.2017 - 23:36
fonte

Leggi altre domande sui tag

È necessario un sale per PBKD quando l'hash viene utilizzato come chiave di crittografia? Devo limitare l'origine in un'app API?