Comportamento rischioso
Un'indagine sulle imprese negli Stati Uniti e in Europa rivela attività che potrebbero mettere a rischio i dati dei titolari di carta.
81% memorizza i numeri di carta di pagamento
Il 73% delle date di scadenza della carta di pagamento viene memorizzato
Il 71% memorizza i codici di verifica della carta di pagamento
Il 57% memorizza i dati dei clienti dalla striscia magnetica della carta di pagamento
il 16% memorizza altri dati personali
Fonte: Forrester Consulting: lo stato della conformità PCI (commissionato da RSA / EMC)
NON FARLO
link
Requisito 3: proteggere i dati dei titolari di carta memorizzati
In generale, i dati dei titolari di carta non devono mai essere archiviati a meno che non sia necessario soddisfare le esigenze dell'azienda. I dati sensibili sulla banda magnetica o sul chip non devono mai essere memorizzati.
Se la tua organizzazione archivia PAN, è cruciale renderla illeggibile (vedi 3.4).
3.4 Render PAN,
al minimo, illeggibile ovunque sia memorizzato, anche su dispositivi digitali portatili
media, supporti di backup, registri e dati ricevuti o archiviati da reti wireless.
Le soluzioni tecnologiche per questo requisito possono includere solide funzioni hash unidirezionali,
troncamento, token indice, pad memorizzati in modo sicuro o crittografia avanzata.
(Vedi Glossario PCI DSS per la definizione di crittografia avanzata.)