我们有一个使用Autorize.net的CIM和AIM的商人网站。我们的用户可能有多张信用卡,因此我们希望给他们机会来区分他们在现场使用的信用卡。当前,我们考虑存储持卡人姓名,抄送号码的最后4位及其有效期。

存储此敏感数据的最低要求是什么?

编辑:PCI DSS说:


主帐号是PCI DSS要求适用性的定义因素。如果存储,处理或传输了主帐号(PAN),则PCI DSS要求适用。如果未存储,处理或传输PAN,则PCI DSS要求不适用。


因此,存储持卡人姓名和有效期不符合规定。但是PAN的最后4位数字呢?

评论

即使与您的问题无关,您也应记住,没有合适的客户政策,您所有的数据安全都将一文不值。如果您不这样做,可能发生的事情很好的示例:wired.com/gadgetlab/2012/08/apple-amazon-mat-h​​onan-hacking/all
@masi Wired断开了链接,这是固定版本wired.com/2012/08/apple-amazon-mat-h​​onan-hacking

#1 楼

持卡人姓名,抄送号码的最后4位数字及其有效期均为不敏感数据。持卡人姓名和有效期仅在使用完整的主帐号存储而不是四舍五入的数字时才需要保护。

如果要存储,处理或传输持卡人数据,则必须满足kaushal提到的所有其他PCI DSS要求,但是对于列出的项目,您无需做任何特殊的事情来保护它们。

请参阅PCI DSS的第7和8页关于此的更多信息:
https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf

评论

PCI-DSS仅在存储的前六位数和后四位数多时才需要保护PAN。例如。可以存储4111 11 ****** 1234,而不会被视为敏感数据。

–闪烁
2012年9月7日19:39
我看到无需应用PCI DSS即可存储持卡人姓名和有效期。但是您从哪里引用有关最后4位数字的信息?

–安德烈·波塔洛夫(Andrei Botalov)
2012年9月7日19:56


它只表示在向用户显示PAN时应将其屏蔽(要求3.3)。但是,即使存储了最后4位数字,也似乎适用PCI DSS(第7页)

–安德烈·波塔洛夫(Andrei Botalov)
2012年9月7日在20:02


@AndreyBotalov仅当PAN整体存储/传输时才被认为是敏感的。如果它在3.3之后被屏蔽或删除,则它不再敏感,并且DSS不适用。请参阅此附加的PCI Council文件,在“截断”下的第二页:pcisecuritystandards.org/pdfs/pci_fs_data_storage.pdf

–闪烁
2012年9月7日在21:22
如果存储整个内容,则@AndreyBotalov Req 3.3决定了可以显示多少个PAN。您可以自由显示不敏感的部分(前六个,后四个),就像可以存储不敏感的部分而无需满足DSS要求一样。

– freb
2012年9月7日在21:27

#2 楼

某些付款产品将PCI合规性负担转移给了付款服务提供商(Authorize.NET或Paypal Pro)。但是,他们要求将消费者转发到付款提供商的服务器以完成他们的订单。如果您的网站通过API与Authorize.NET集成,则您仍然要遵守PCI,因为您的服务器会先捕获并传输信用卡数据。

请务必注意第3条要求PCI-DSS指南,即保护持卡人数据。

根据PCI-DSS https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf,

除非您是支持发行服务的发行人或公司,第3.2节明确说明即使加密也不能存储敏感数据。

但是,如果您在日常业务中保留敏感数据,则必须拥有明确的数据保留和处置政策,如第3.1节所述。

并且根据第3.3节显示时,您还必须屏蔽敏感数据

,并且必须按照3.4节中的说明使存储的敏感数据不可读<< /> >编辑:

根据PCI-DSS文档中提到的要求3.2和子要求3.2.1,我想重复一下
存储/传输中的敏感数据包括
1)卡号
2)持卡人名称
3)到期日期
4)服务代码

第7和8页说,PAN定义了PCI-DSS的适用性。

IMO,缺少FULL pan可以解决任何PCI-DSS适用性。我同意上述回答。

因此,在这种情况下,如果您将其中的任何数据以及信用卡号的前6位和/或后4位存储在一起,则PCI-DSS将不适用。

评论

@kaushal-我认为OP指的是仅存储主帐号(信用卡号)的后四位。如果将卡输入到其特定站点,而不是重定向到授权或PayPal站点,则传输规则仍然适用。 DSS的某些部分特定于存储,而某些部分特定于传输,因此确实很重要。

–闪烁
2012年9月7日19:42


@ rox0r-完全错误。如果您处理,存储或传输持卡人数据,则您将受PCI-DSS的约束。只是因为您没有遵守要求,您仍在处理卡,并且默认情况下承担责任。您有一个商家编号,如果您不遵守规定,将会在发生违反事件时为您提供帮助。另一方面,为了获得您的商人编号,我将向您保证,您将必须签订一份合同,其中包括成为并保持合规性的规定。

–闪烁
2012年9月7日19:45
我认为,对粗体功能的使用有些过度。顺便说一句,PCI-DSS不是法律架构/法律,它是一种常见的合同。尽管您可能会从民事角度上负有丢失卡号的责任,但这与拥有您已同意处理方合同作为流程一部分的商户号码并不相同。

– Jeff Ferland♦
2012年9月7日19:45


@eficker:我到底怎么了?仅通过合同法强制遵守PCI-DSS。如果您“处理,存储或传输持卡人数据”,但尚未签订任何合同,则您无需承担PCI合规性。

–布拉德利·克雷德(Bradley Kreider)
2012年9月7日在21:24
@ rox0r您打算在什么业务中处理/存储/传输没有合同或商户帐户的合法持卡人数据?不,您不会受到州或联邦政府的起诉,但是,如果您是数据泄露的根源,您将承担任何损失的责任并起诉。

–闪烁
2012年9月7日在21:35