PCI DSS v3: archiviazione dei dati del titolare della carta

0

Posso memorizzare i seguenti dati del titolare in base a PCI DSS v3 :

  • ultime 4 cifre del numero della carta;
  • mese di scadenza;
  • anno di scadenza;
  • nome;
  • cognome;
  • codice postale;
  • paese?

Se no, da che parte posso salvarli?

PS Ho trovato questa risposta , ma è relativa alla v2.

Aggiornamento: Inoltre, ho trovato questo articolo con il seguente commento: " ... Troncamento - rimozione di un segmento di dati, come mostrare solo le ultime quattro cifre ... ", ma non sono sicuro che si tratti di informazioni reali relative alla v3.

    
posta Nikita Sviridenko 26.11.2016 - 19:43
fonte

1 risposta

2

Can I store following holder data according the PCI DSS v3:

In breve: Sì , puoi memorizzare tutti i dati, senza crittografia, sotto il DSS, se non stai memorizzando il PAN (il numero della carta di credito) .

Tuttavia, alcune di queste informazioni rientrano nei regolamenti PII dei vari stati e la tua mancata protezione sarà soggetta a varie multe. Quindi, solo perché il DSS non interessa, non significa che non dovresti.

In dettaglio:

Gli stati DSS 3.2 (enfatizza il mio):

PCI DSS also applies to all other entities that store, process or transmit cardholder data (CHD) and/or sensitive authentication data (SAD)

CHD e SAD sono definiti come segue (anche in DSS 3.2):

Mentre il nome del titolare della carta e la data di scadenza sono elencati sotto CHD, il seguente avvertimento afferma che sono considerati solo CHD in combinazione con il PAN (sottolineatura originale al DSS):

The primary account number is the defining factor for cardholder data. If cardholder name, service code, and/or expiration date are stored, processed or transmitted with the PAN, or are otherwise present in the cardholder data environment (CDE), they must be protected in accordance with applicable PCI DSS requirements.

Di conseguenza, se il PAN non è presente, allora gli altri campi di dati elencati non devono essere protetti come da requisiti DSS.

Infine, mentre queste citazioni provengono dal DSS 3.2, sono in gran parte invariate da 3.0 / 3.1 e 2.x ( al meglio del mio ricordo ; non ho il doppio controllo).

    
risposta data 27.11.2016 - 05:14
fonte

Leggi altre domande sui tag