Mi chiedo quali sono i rischi associati alla memorizzazione delle ultime 6 cifre di una carta di pagamento rispetto alle ultime 4 cifre. Inoltre, avrà delle implicazioni sulla conformità PCI DSS?
Per il punto 3.4 delle linee guida PCI DSS, il troncamento è
generally not to exceed the first six and last four digits
, ma in particolare dipende dalla possibilità di rigenerare il numero completo della carta, ad esempio utilizzando un hash dello stesso numero di carta di un test per generare possibili cifre mancanti. Memorizzando il primo e l'ultimo di sei cifre si ridurrebbe un numero di 19 cifre della carta a 7 cifre ridotte, il che sarebbe banale alla forza bruta se fosse fornito anche un hash. C'è una nota specifica su questa situazione:
Note: It is a relatively trivial effort for a malicious individual to reconstruct original PAN data if they have access to both the truncated and hashed version of a PAN. Where hashed and truncated versions of the same PAN are present in an entity’s environment, additional controls must be in place to ensure that the hashed and truncated versions cannot be correlated to reconstruct the original PAN.
Inoltre, al punto 3.3:
the first six and last four digits are the maximum number of digits to be displayed
Per ottenere una risposta per il tuo sistema specifico, dovresti ottenere un consiglio da un QSA - non è impossibile che ti venga permesso di memorizzare sei cifre, ma sarebbe consigliabile non farlo, e solo un QSA sarebbe in grado di firmare la decisione.
I numeri delle carte di credito sono generalmente lunghi 16 cifre.
Le prime 6 cifre sono "di solito" il BIN della carta. Identificano il tipo di carta che è (carta bancaria ABC Bank, DEF Bank Debit Card ... ecc.) E generalmente utilizzata per il routing all'interno della rete di carte, quindi VISA / Mastercard sa a quale emittente indirizzare la transazione.
Questa informazione è generalmente considerata pubblica e puoi trovare linee BIN generiche online.
Le 10 cifre successive sono il numero della carta. Che identifica in modo univoco la carta per la banca emittente.
Quando si tratta di quante di queste 10 cifre devono essere esposte, ci sono delle considerazioni. Esporre troppo poco e sarà difficile identificare le singole transazioni e le singole carte, (risoluzione dei problemi da incubo).
Esponi troppo e i criminali possono ricostruire il numero della carta.
Il consiglio PCI generale è di esporre "non più" di 4, con indicazioni su come ridurre questo se non sono necessarie 4 cifre. In questo modo, il numero di cifre mascherate è 6. Con un intervallo possibile di 000000 - 999999 o 1.000.000 possibili permutazioni.
Se si espongono 6 cifre, il numero di cifre mascherate è solo 4 (10-6). E la possibile gamma di numeri di carte si riduce di 100x, a soli 0000 - 9999 o 10.000 possibili permutazioni. Questo è generalmente abbastanza basso da costringere qualcuno a forzare il numero della carta attraverso altri mezzi.
In breve, non farlo. 4 I numeri sono generalmente buoni, e più bassi sono i migliori, ma non lo fanno 6. Non solo sarai non conforme al PCI, ma rischierai i tuoi clienti (o clienti dei tuoi clienti).
Leggi altre domande sui tag pci-dss