Se dovessimo memorizzare le seguenti informazioni su una carta di credito, dovremmo essere conformi allo standard PCI-DSS o siamo fuori ambito? Si supponga, ai fini di questa domanda, di archiviare queste informazioni e di non elaborare alcun pagamento con carta di credito.
IANAQSA! Questi dati non ti mettono in ambito, ma probabilmente sei in ambito, comunque, ma non importa quale sia la tua relazione che ti consente di accedere a tali dati senza ambito.
Per citare PCI-DSS 3.2 (enfasi come sorgente):
The primary account number is the defining factor for cardholder data. If cardholder name, service code, and/or expiration date are stored, processed or transmitted with the PAN, or are otherwise present in the cardholder data environment (CDE), they must be protected in accordance with applicable PCI DSS requirements.
Se non hai mai il numero di conto primario completo, non hai i dati del titolare della carta. Ciò non significa che non sei soggetto al DSS, tuttavia . Anche un commerciante che esternalizza la gestione dei dati delle carte da parte del proprio fornitore di servizi è soggetto a qualcosa come il SAQ A (questionario di autovalutazione).
Quello che stai descrivendo (il primo 6, l'ultimo 4) è chiamato Troncamento ed è descritto nella sezione 3.4 del DSS. Quindi qualcuno - il tuo fornitore di servizi? - sta troncando i numeri delle carte e consegnandole a voi al posto dei numeri delle carte. In questo caso, il tuo fornitore di servizi dovrebbe essere autorevole per aiutarti a capire quale sia il tuo ambito nell'ambito del DSS.
Si tratta di questo:
PCI DSS applies to all entities involved in payment card processing—including merchants, processors, acquirers, issuers, and service providers.
Quei numeri troncati ti mettono nella portata? No. Se stai ricevendo numeri troncati, è probabile che tu abbia una relazione che ti rende soggetto al PCI DSS come sopra? Molto probabile, sì.
Leggi altre domande sui tag credit-card pci-dss pci-scope