Can I store following holder data according the PCI DSS v3:
In breve: Sì , puoi memorizzare tutti i dati, senza crittografia, sotto il DSS, se non stai memorizzando il PAN (il numero della carta di credito) .
Tuttavia, alcune di queste informazioni rientrano nei regolamenti PII dei vari stati e la tua mancata protezione sarà soggetta a varie multe. Quindi, solo perché il DSS non interessa, non significa che non dovresti.
In dettaglio:
Gli stati DSS 3.2 (enfatizza il mio):
PCI DSS also applies to all other entities that store, process or
transmit cardholder data (CHD) and/or sensitive authentication data
(SAD)
CHD e SAD sono definiti come segue (anche in DSS 3.2):
Mentre il nome del titolare della carta e la data di scadenza sono elencati sotto CHD, il seguente avvertimento afferma che sono considerati solo CHD in combinazione con il PAN (sottolineatura originale al DSS):
The primary account number is the defining factor for cardholder data.
If cardholder name, service code, and/or expiration date are stored,
processed or transmitted with the PAN, or are otherwise present in the
cardholder data environment (CDE), they must be protected in
accordance with applicable PCI DSS requirements.
Di conseguenza, se il PAN non è presente, allora gli altri campi di dati elencati non devono essere protetti come da requisiti DSS.
Infine, mentre queste citazioni provengono dal DSS 3.2, sono in gran parte invariate da 3.0 / 3.1 e 2.x ( al meglio del mio ricordo ; non ho il doppio controllo).