it-swarm.dev

Requisiti minimi per la memorizzazione delle ultime 4 cifre del numero della carta di credito?

Abbiamo un sito web commerciale che utilizza CIM e AIM di Autorize.net. I nostri utenti possono avere più carte di credito, quindi vorremmo dare loro l'opportunità di distinguere tra le carte di credito che usano sul sito. Attualmente pensiamo di memorizzare il nome del titolare della carta, le ultime 4 cifre del numero CC e la sua data di scadenza.

Quali sono i requisiti minimi che dovrebbero essere conservati per archiviare questi dati sensibili?

Modifica: PCI DSS dice:

Il numero di conto principale è il fattore determinante nell'applicabilità di PCI DSS. PCI DSS sono applicabili se è memorizzato un numero di conto primario (PAN), elaborato o trasmesso. Se PAN non è memorizzato, elaborato o trasmesso, PCI DSS non si applicano.

Pertanto, il nome del titolare della carta e la data di scadenza possono essere memorizzati senza essere conformi. Ma che dire delle ultime 4 cifre del PAN?

65
Andrei Botalov

Il nome del titolare della carta, le ultime 4 cifre del numero CC e la sua data di scadenza sono tutti [~ # ~] non [~ # ~] dati sensibili. Il nome del titolare della carta e la data di scadenza richiedono protezione solo se vengono memorizzati con il numero di conto principale completo, non il numero troncato di 4 cifre.

Se stai memorizzando, elaborando o trasmettendo i dati dei titolari di carta, devi soddisfare tutti gli altri PCI DSS requisiti menzionati da Kaushal, ma per gli articoli che hai elencato, non devi fare nulla speciale per proteggerli.

Vedi le pagine 7 e 8 del PCI DSS per maggiori informazioni su questo: https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf

61
freb

Alcuni prodotti di pagamento trasferiscono l'onere della conformità PCI al fornitore di servizi di pagamento (Authorize.NET o Paypal Pro). Tuttavia, richiedono che un consumatore sia inoltrato ai server del fornitore di servizi di pagamento per completare l'ordine. Se il tuo sito Web si integra con Authorize.NET tramite un'API, sei comunque responsabile per la conformità PCI poiché i tuoi server acquisiscono e trasmettono prima i dati della carta di credito.

È importante prestare attenzione al requisito 3 della guida PCI-DSS, che è Proteggi i dati dei titolari di carta .

Secondo PCI-DSS https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf ,

A meno che non siate un emittente o una società che supporta i servizi di emissione, la Sezione 3.2 spiega chiaramente che non è possibile archiviare dati sensibili, anche se crittografati.

Tuttavia , se stai conservando dati sensibili per il normale corso dell'attività, allora tu deve disporre di una politica di conservazione e smaltimento dei dati definita in atto, come spiegato nella Sezione 3.1.

E devi anche mascherare i dati sensibili quando visualizzati secondo la Sezione 3.3

E devi rendere illeggibili i dati sensibili memorizzati come spiegato nella sezione 3.4

Edit:

Ai sensi dei requisiti 3.2 e dei sotto-requisiti 3.2.1 menzionati nel documento PCI-DSS, vorrei ripetere che i dati sensibili nella memoria/trasmissione includono 1) Scheda Numero 2) Nome del titolare della carta 3) Data di scadenza 4) Codice di servizio

Pagina 7 e 8 dice PAN definisce l'applicabilità del PCI-DSS.

IMO, l'assenza di una padella FULL dissolve qualsiasi applicabilità PCI-DSS. Sono d'accordo con la risposta sopra.

Pertanto, in questo caso il PCI-DSS non si applica se si memorizzano parti di questi dati insieme alle prime 6 e/o ultime 4 cifre del numero della carta di credito.

11
kaushal