Se trasmettiamo un numero di 16 cifre da un fornitore di servizi alla mia applicazione, allora è applicabile PCI DSS.
Ma se usiamo (trasmetti / memorizziamo) solo le prime 6 e le ultime 4 cifre del numero della carta e la data di scadenza, allora siamo tenuti a rispettare PCI DSS?
Da un punto di vista PCI DSS non è considerato "Dati di titolari di carta" a meno che non includa il numero completo di conto primario (il numero di 16 cifre della carta), quindi se non tocca mai i tuoi sistemi allora sono davvero fuori portata.
Se la stai guardando oltre il PCI, guarderei se effettivamente hai bisogno di tanto - trasmettendo / memorizzando le prime sei e ultime quattro foglie solo 10.000 combinazioni possibili per ottenere il "pieno" "PAN, c'è ancora del lavoro da fare per ottenere dettagli sufficienti per" rubare "la carta, ma a meno che tu non abbia una ragione specifica per aver bisogno di gran parte del PAN perché farlo?
Se si accettano carte di credito come pagamento, è necessario rispettare PCI DSS. Come accetti le carte di credito determina a quale livello. Ad esempio, se si dispone di un terminale a scorrimento che si collega a una linea POTS e nessuno di essi tocca la rete, è comunque necessario attenersi a PCI e fare un questionario di autovalutazione. Ogni SAQ inizia con una sezione che dice "Prima di iniziare" che ti guida attraverso quale si adatta.
PS Se esternalizzi completamente l'elaborazione dei dati della carta di credito a una terza parte, devi comunque completare un rapporto SAQ-A.
Leggi altre domande sui tag pci-dss