Siamo una piccola azienda e gestiamo meno di 500 transazioni con carta di credito ogni anno, pertanto ricadiamo nei commercianti di livello 4. I responsabili dell'azienda vogliono assicurarsi che siamo conformi PCI a tutti i livelli. Vedo che stiamo memorizzando i dati della carta di credito in uno dei nostri database, ma il numero PAN è crittografato usando l'enciclopedia RC2 quando è stato inizialmente sviluppato anni fa. Sento ancora che la crittografia RC2 è vulnerabile agli attacchi anche se utilizziamo la connessione SSL per trasmettere i dati.
Ho alcune cose nella mia mente come segue.
- Tokenizzazione
- Rimozione dei dati della carta dal nostro database e trasmissione dei dettagli al gateway di pagamento.
- Secure Key Storage per i dati della carta crittografata.
Ho controllato con il business e hanno detto che l'opzione 2 per rimuovere i dati delle carte va bene in quanto non è necessario memorizzare i dati, ma dal momento che ci sono alcune transazioni ricorrenti, la mia domanda sarà interessata se l'archiviazione dei dati delle carte è rimosso ??
Se scelgo l'opzione 3 di proteggere le chiavi utilizzate per decrittografare i dati, vedo che ci sono molte procedure da seguire per implementare un sistema di gestione delle chiavi commerciale, ecc.
Puoi suggerire per favore quale sia il modo migliore per aggirare questo problema ed essere conforme.