Memorizzando solo la parte BIN del PAN, qualifica questo come PAN completo?

Naviga le tue risposte
2

Stiamo cercando di diventare un reclamo PCI-DSS. Desideriamo ridurre al minimo l'impatto che avrà su di noi e sulla nostra attività. Poiché questo può essere un esercizio molto costoso. A quanto ho capito, se non memorizzi i dati dei titolari di carta che riducono il rischio.

La mia domanda è se memorizziamo solo la parte BIN del PAN se questo è qualificato come dati di titolari di carta? Desideriamo memorizzare il BIN in combinazione con il nome del titolare della carta.

Qualsiasi chiarimento sarebbe molto apprezzato.

    
posta Rup 26.07.2012 - 09:53
fonte

1 risposta

4

La memorizzazione solo della parte BIN del PAN non si qualifica come PAN completo. Quando si pensa allo storage PAN, è necessario considerare il Requisito 3: Proteggi i dati di un proprietario memorizzato. Alla tua domanda viene data risposta dal requisito 3.4 (questo è un estratto del documento di navigazione PCI-DSS):

3.4 Render PAN unreadable anywhere it is stored (including on portable digital media, backup media, and in logs) by using any of the following approaches: One-way hashes based on strong cryptography (hash must be of the entire PAN), Truncation (hashing cannot be used to replace the truncated segment of PAN), Index tokens and pads (pads must be securely stored), Strong cryptography with associated key-management processes and procedures

Quello che stai cercando di fare è indicato come "Troncamento", limitato alle prime sei cifre:

The intent of truncation is that only a portion (not to exceed the first six and last four digits) of the PAN is stored.

    
risposta data 26.07.2012 - 11:37
fonte

Leggi altre domande sui tag

Decifra il traffico TLS Come passare l'intestazione di autorizzazione nella richiesta HTTP quando si utilizza HTML5 Player (tag audio) per la sicurezza