Memorizzazione dei dati CardHolder tramite la crittografia RC2

0

Vorrei sapere se la memorizzazione dei dati dei titolari di carte di credito tramite la crittografia RC2 richiede la conformità a PCI DSS. Attualmente il numero PAN a 16 cifre e la data di scadenza sono memorizzati nel database. Il numero PAN viene crittografato prima di essere archiviato e il sito utilizza SSL per trasmettere i dati al gateway di pagamento. Dobbiamo ancora rispettare i requisiti PCI DSS se archiviamo i dati dei titolari di carta crittografati ???

    
posta Nancy 17.11.2014 - 07:25
fonte

2 risposte

1

Sì, se si ricevono, trasmettono o si archiviano dati di titolari di carta in qualsiasi forma, è necessario rispettare PCI-DSS. In effetti, una delle cose che devi fare sotto PCI-DSS è crittografare quei dati usando una crittografia strong. Anche se non sono un revisore dei conti PCI, sospetto che RC2 non sarebbe, se di fatto, considerato una crittografia strong, quindi non solo sei soggetto a PCI-DSS, potresti anche violarlo.

    
risposta data 17.11.2014 - 19:39
fonte
0

Comportamento rischioso

Un'indagine sulle imprese negli Stati Uniti e in Europa rivela attività che potrebbero mettere a rischio i dati dei titolari di carta.

81% memorizza i numeri di carta di pagamento

Il 73% delle date di scadenza della carta di pagamento viene memorizzato

Il 71% memorizza i codici di verifica della carta di pagamento

Il 57% memorizza i dati dei clienti dalla striscia magnetica della carta di pagamento

il 16% memorizza altri dati personali

Fonte: Forrester Consulting: lo stato della conformità PCI (commissionato da RSA / EMC)

NON FARLO

link

Requisito 3: proteggere i dati dei titolari di carta memorizzati

In generale, i dati dei titolari di carta non devono mai essere archiviati a meno che non sia necessario soddisfare le esigenze dell'azienda. I dati sensibili sulla banda magnetica o sul chip non devono mai essere memorizzati.

Se la tua organizzazione archivia PAN, è cruciale renderla illeggibile (vedi 3.4).

3.4 Render PAN, al minimo, illeggibile ovunque sia memorizzato, anche su dispositivi digitali portatili media, supporti di backup, registri e dati ricevuti o archiviati da reti wireless. Le soluzioni tecnologiche per questo requisito possono includere solide funzioni hash unidirezionali, troncamento, token indice, pad memorizzati in modo sicuro o crittografia avanzata.  (Vedi Glossario PCI DSS per la definizione di crittografia avanzata.)

    
risposta data 17.11.2014 - 19:33
fonte

Leggi altre domande sui tag